Hong Kong : quand refuser de donner son mot de passe devient un aveu
C'est la dernière extension des règles d'application de la loi sur la sauvegarde de la sécurité nationale de Hong Kong. La police peut désormais exiger de toute personne soupçonnée de porter atteinte à la sécurité nationale qu'elle livre son mot de passe, sa…

Vous êtes en transit à l'aéroport de Hong Kong. Vous ne quittez même pas la zone internationale. Un policier vous arrête, désigne votre téléphone et vous demande votre code. Pas parce que vous avez fait quoi que ce soit. Pas parce qu'un juge a signé quoi que ce soit. Simplement parce qu'il le peut. Et depuis le 23 mars 2026, si vous refusez, vous êtes un délinquant.
Ce n'est pas de la fiction. C'est la dernière extension des règles d'application de la loi sur la sauvegarde de la sécurité nationale de Hong Kong. La police peut désormais exiger de toute personne soupçonnée de porter atteinte à la sécurité nationale qu'elle livre son mot de passe, sa méthode de déchiffrement, ou toute assistance jugée « raisonnable et nécessaire » pour accéder au contenu de ses appareils. Le mot « toute personne » est à prendre au sens large : le suspect, mais aussi quiconque possède, contrôle ou connaît le mot de passe. Un collègue. Un proche. Un ancien utilisateur. Le refus expose à un an de prison et 100 000 dollars hongkongais d'amende. Fournir de fausses informations, à trois ans.
1 an de prison + 100 000 HK$Peine encourue pour refus de livrer son mot de passeRègles d'application de la loi sur la sauvegarde de la sécurité nationale de Hong Kong (en vigueur depuis le 23 mars 2026)Le consulat américain ne s'y est pas trompé. Le 26 mars, il a diffusé une alerte sans ambiguïté : cette règle s'applique à tout le monde, y compris aux citoyens américains, y compris aux passagers en simple transit.
Ce que ça change quand vous voyagez pour le travail
Pour quiconque se déplace régulièrement en Asie-Pacifique, Hong Kong était jusqu'ici un point de passage évident. Un hub aérien parmi les plus connectés du monde, une escale naturelle entre l'Europe et l'Asie du Sud-Est. C'est fini, ou en tout cas c'est devenu un calcul. Si vous êtes consultant, auditeur, juriste, si vous travaillez dans la finance, la tech ou la conformité, votre ordinateur portable contient des informations couvertes par des accords de confidentialité, des données clients, des stratégies internes, des échanges avec des régulateurs. Votre téléphone contient vos messageries chiffrées, vos authentificateurs, vos accès VPN. Tout cela peut désormais vous être demandé à Hong Kong, sans mandat, et vous n'avez pas le droit de dire non.
La question ne se pose plus en termes abstraits de libertés numériques. Elle se pose le mardi matin, quand vous réservez un vol avec escale et que vous devez décider si votre passage par le territoire hongkongais vaut le risque d'exposer les données de votre employeur, de vos clients ou de vos partenaires. Des entreprises ont déjà commencé à trancher. Certaines bannissent les transits par Hong Kong pour les collaborateurs qui transportent des données sensibles. D'autres imposent des téléphones vierges dédiés au voyage. Ce sont des réponses pragmatiques, mais elles disent quelque chose sur l'état du monde quand un aéroport devient un point de vulnérabilité juridique.

Ce que Hong Kong assume, d'autres le préparent en silence
On pourrait traiter cette affaire comme un problème hongkongais. Une dérive autoritaire de plus dans un territoire où la marge de manœuvre de la société civile rétrécit depuis 2020. Ce serait commode. Ce serait aussi malhonnête.
Car le principe qui vient d'être gravé dans la loi à Hong Kong, à savoir que le chiffrement est un obstacle à lever et que le silence numérique est suspect, n'est pas une idée chinoise. C'est une idée qui circule dans la plupart des capitales occidentales depuis vingt ans. La différence, c'est que Hong Kong a cessé de faire semblant.
Au Royaume-Uni, l'Online Safety Act adopté en 2023 donne au régulateur Ofcom le pouvoir d'exiger des plateformes qu'elles scannent les messages chiffrés pour détecter des contenus illicites. Le gouvernement britannique a d'ailleurs utilisé ce levier début 2025 en adressant à Apple un « technical capability notice » secret exigeant un accès aux données iCloud chiffrées de bout en bout. Apple a préféré retirer sa fonctionnalité Advanced Data Protection du marché britannique plutôt que de s'y conformer. Au niveau européen, le projet « Chat Control » revient régulièrement sur la table : la Commission européenne pousse depuis 2022 pour imposer aux plateformes de messagerie un scan automatisé des communications, y compris chiffrées, au nom de la lutte contre les abus sur mineurs. Le Parlement européen a repoussé les versions les plus intrusives, mais le projet n'est pas enterré. Il mute, il revient sous d'autres noms, il attend le bon fait divers pour resurgir.
En France, le débat a pris un tour concret en 2025, lors des discussions sur la loi contre le narcotrafic. Des amendements ont proposé d'imposer aux fournisseurs de messageries chiffrées l'installation de mécanismes d'accès pour les services de renseignement. Le mot « backdoor » n'a jamais été prononcé officiellement, mais c'est exactement ce dont il s'agissait. L'Assemblée nationale a fini par reculer, notamment sous la pression de l'ANSSI elle-même, qui a rappelé ce que tout professionnel de la cybersécurité sait : une porte dérobée créée pour l'État est une porte dérobée utilisable par n'importe qui d'autre.
Et ce n'est pas une affirmation théorique. En 2015, des chercheurs en sécurité ont découvert qu'une backdoor avait été insérée dans le firmware des équipements réseau Juniper Networks. Pendant des années, cette porte dérobée, vraisemblablement implantée par un service de renseignement étatique, a permis de déchiffrer des connexions VPN sans que personne ne le sache. Quand elle a été découverte, il était impossible de déterminer avec certitude qui en avait profité, ni combien d'acteurs avaient eu le temps de l'exploiter. L'affaire Juniper est devenue le cas d'école que les partisans du chiffrement fort citent systématiquement, et pour cause : elle démontre dans les faits, pas dans la théorie, qu'il n'existe pas de vulnérabilité réservée aux gentils.

Le paradoxe français
Et c'est là que la position française devient difficile à ignorer. D'un côté, la France peine à transposer NIS2 dans les délais, repousse ses échéances, laisse ses organisations dans un flou réglementaire qui fragilise tout l'écosystème. De l'autre, elle trouve le temps de discuter sérieusement de l'affaiblissement du chiffrement. On n'arrive pas à imposer les bases de l'hygiène numérique aux entreprises et aux administrations, mais on envisage de percer des trous dans les murs de ceux qui ont fait l'effort de se protéger. Il y a dans cette séquence quelque chose qui ressemble moins à une stratégie qu'à une confusion sur ce que « sécurité » veut dire.
Le vrai sujet n'est pas technique
Le secrétaire à la Sécurité de Hong Kong, Chris Tang, a voulu rassurer en expliquant que la police ne pouvait pas formuler ces demandes « de manière aléatoire » et qu'une justification liée à la sécurité nationale restait nécessaire. Mais cette garantie ne vaut que ce que vaut la définition de « sécurité nationale ». Et dans le contexte hongkongais post-2020, cette définition englobe la dissidence, le journalisme critique et parfois la simple expression d'une opinion. Quand le périmètre de la menace est aussi large, la garantie n'en est plus une.
Le mécanisme est d'ailleurs remarquablement propre. On ne vous contraint pas physiquement. On vous place devant un choix dont les deux branches mènent au même endroit : livrer vos données ou être poursuivi. C'est légal, administratif, et parfaitement calibré pour que la plupart des gens obtempèrent sans même réaliser qu'ils avaient une alternative. Ce n'est pas de la coercition brute. C'est un système qui a compris que la conformité volontaire coûte moins cher que la répression.
Le signal
Hong Kong n'invente rien. Hong Kong accélère. Ce qui se passe là-bas n'est pas une anomalie autoritaire. C'est un test grandeur nature de ce que beaucoup de gouvernements envisagent sans oser le formuler aussi clairement. La criminalisation du refus de déchiffrement, l'absence de contrôle judiciaire préalable, l'extension aux tiers : chacun de ces éléments existe à l'état de projet ou de tentation dans au moins une démocratie occidentale.
La France ferait bien de regarder Hong Kong non pas comme un repoussoir commode, mais comme un miroir inconfortable. On ne peut pas à la fois prétendre construire un cadre de cybersécurité européen ambitieux et flirter avec l'idée que le chiffrement est un problème à résoudre plutôt qu'une protection à défendre. Il va falloir choisir.
Questions fréquentes
Qui peut être obligé de livrer son mot de passe à Hong Kong ?
Toute personne soupçonnée de porter atteinte à la sécurité nationale, mais aussi quiconque possède, contrôle ou connaît le mot de passe : un collègue, un proche ou un ancien utilisateur de l'appareil.
Que risque-t-on en cas de refus ?
Un an de prison et 100 000 dollars hongkongais d'amende pour le refus, et jusqu'à trois ans pour la communication de fausses informations.
La règle s'applique-t-elle aux simples voyageurs en transit ?
Oui. Le consulat américain a diffusé le 26 mars 2026 une alerte précisant qu'elle s'applique à tout le monde, y compris aux citoyens étrangers et aux passagers en simple transit dans la zone internationale de l'aéroport.
S'agit-il d'une particularité hongkongaise ?
Non. Le même principe d'affaiblissement du chiffrement existe à l'état de projet ou de tentation dans plusieurs démocraties occidentales : Online Safety Act au Royaume-Uni, projet Chat Control dans l'UE, amendements sur le narcotrafic en France. Hong Kong a simplement cessé de faire semblant.
Sources & méthodologie

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
