Ceci est une archive

Ce site n’est plus mis à jour depuis 2016. Il s’agit seulement d’une archive. Lire la suite →

Mise à jour importante – nouvelle adresse

Plus de 200 billets ont été écrits ces cinq dernières années et j’avais depuis un certain temps déjà envie de migrer ce blog vers une structure plus professionnelle, sans publicité et plus respectueuse de la sphère privée. C’est donc le dernier article à être publié ici et je vous invite désormais à me suivre sur le nouveau site https://www.smetille.ch/blog/. Pensez à mettre à jour vos abonnements, vos raccourcis et vos marques-pages.

Vous pouvez également vous abonner au flux RSS des articles  ou les recevoir par courriel (inscription en bas à droite à la nouvelle adresse).

La justice peut-elle obtenir de Google Switzerland l’identité de l’utilisateur d’un compte Gmail ?

Alors qu’il vient de déclarer que le Ministère public vaudois ne peut contraindre Facebook Switzerland Sàrl (Facebook Suisse) à produire les données d’un compte Facebook, le Tribunal fédéral refuse (provisoirement) de reconnaître une obligation pour Google Switzerland GmbH de donner l’identité du titulaire d’une adresse @gmail.com (1B_142/2016). L’affaire est renvoyée à l’autorité cantonale pour éclaircir les faits.

Un service fourni par Google Inc.
Le 16 juin 2015, le Ministère public central du canton de Vaud a ouvert une instruction pénale contre inconnu pour violation du droit d’auteur, suite à une plainte/dénonciation de la Société française des auteurs, compositeurs et éditeurs de musique (SACEM) dirigée contre l’administrateur d’un site web qui aurait diffusé à large échelle des œuvres musicales en proposant des liens de téléchargements illicites. Le Ministère public vaudois a alors requis de la société Google Switzerland GmbH la production de l’identité du détenteur d’un compte Gmail, les adresses IP utilisées pour créer le compte, le log de connexions et les adresses IP en relation avec ces logs dès 2008 ainsi que le contenu privé du compte.

Google Switzerland explique que les informations demandées sont en mains de la société américaine Google Inc.. Google Switzerland GmbH exerce un contrôle de la compatibilité avec le droit suisse du contenu des blogs hébergés par un site dont elle est l’administratrice, ainsi que d’autres activités en lien avec les annonces publicitaires, mais elle n’intervient pas en lien avec l’exploitation d’un compte Gmail, le système de messagerie électronique Gmail étant exploité en Californie par la société américaine Google Inc.. Le Tribunal fédéral a considéré que ce point n’était pas suffisant établi et a renvoyé l’affaire pour compléter l’état de fait.

Une situation différente en matière de protection des données
Le Tribunal fédéral a profité de rappeler, comme dans la décision concernant Facebook rendue le même jour (lien), que la situation différait de l’affaire Google Street View qui concernait une cause de droit public relative à la protection des données: la société suisse impliquée était en lien direct avec l’activité concernant Google Street View (en particulier la production et le traitement des images, le traitement des demandes d’effacement), même si on ne pouvait retenir un rapport de représentation entre les sociétés suisse et américaine. Pour le TF, cette jurisprudence de droit public ne saurait s’appliquer dans le cadre d’une demande de preuve en matière pénale.

Commentaire
Le raisonnement est le même que pour la décision Facebook du même jour. On peut néanmoins regretter sincèrement dans ces deux décisions que le Tribunal fédéral soit resté très lacunaire sur certaines questions essentielles, comme la raison pour laquelle un traitement différent s’impose en droit pénal et en droit public (protection des données), ou sur la question du fournisseur de services de télécommunication. Si l’on peut éventuellement discuter s’agissant d’un réseau social, la question ne fait pas de doute concernant un fournisseur de messagerie…

On s’étonnera finalement que ces deux décisions importantes, dont au moins l’une sera publiée au recueil officiel, ne contiennent aucune référence à la doctrine.

La justice ne peut pas obtenir de Facebook Suisse l’identité des utilisateurs du réseau social

Dans un arrêt qui vient d’être publié (1B_185/2016), le Tribunal fédéral a décidé que le Ministère public vaudois ne peut contraindre Facebook Switzerland Sàrl (Facebook Suisse) à produire les données d’un compte Facebook ouvert vraisemblablement depuis la Suisse. Pour la Haute Cour, Facebook Suisse n’est pas titulaire des données en question et n’en a pas non plus le contrôle. Pour y avoir accès, il y a lieu d’agir par voie de l’entraide judiciaire auprès de Facebook Ireland Ltd (Facebook Irlande).

Une demande classique
Suite à la plainte d’un journaliste belge traité d’antisémite sur un compte Facebook ouvert vraisemblablement en Suisse sous un pseudonyme, le Ministère public du canton de Vaud a ouvert une instruction pénale contre inconnu pour atteinte à l’honneur. Il a exigé de Facebook Suisse et de ses deux associés gérants la production de l’identité du détenteur du compte, de ses données d’accès et son adresse IP.

Un service fourni par Facebook Irlande
Le Tribunal a retenu qu’aucun des documents ne permettait de conclure que Facebook Suisse soit titulaire des données d’utilisateur réclamées, ou qu’elle ait un accès direct à ces données. Comme l’indique le site web du réseau social, le service est fourni par Facebook Inc. (Etats-Unis) pour les utilisateurs résidant aux Etats-Unis ou au Canada, et par Facebook Irlande pour les autres utilisateurs. Il n’y a pas de contrat entre la société suisse (qui n’est que la filiale de Facebook Global Holdings II LLC) et la société Facebook Irlande. L’activité de Facebook Suisse se limite au support marketing, à la vente d’espaces publicitaires, aux relations publiques et à la communication. Facebook Suisse ne représente pas non plus la société irlandaise.

En suivant ce raisonnement, il est logique que le Tribunal arrive à la conclusion que seule l’entité irlandaise doive répondre à la demande du Ministère public et qu’il faille lui adresser aux autorités irlandaises une demande d’entraide judiciaire pénale.

Un raisonnement différent en matière de protection des données
La Cour de justice de l’Union Européenne (CJUE) a tenu un raisonnement différent dans l’arrêt Costeja González. La CJUE a en effet jugé que même si le moteur de recherche était exploité par la société-mère du groupe Google Inc. (USA), la filiale espagnole était en charge de la promotion des ventes d’espaces publicitaires générés sur le site web et a désigné auprès de l’autorité locale de protection des données comme responsable du traitement de fichiers enregistrés par Google Inc. Pour la CJUE, le traitement de données est fait pour les besoins du moteur de recherche exploité par une entreprise ayant son siège dans un État tiers mais disposant d’un établissement dans un État membre. Il est donc effectué dans le cadre des activités de cet établissement si celui-ci est destiné à assurer, dans cet État membre, la promotion et la vente des espaces publicitaires proposés par le moteur de recherche. Les activités de l’exploitant du moteur de recherche et celles de son établissement ont donc été considérées comme indissociablement liées. Un raisonnement similaire avait été tenu par le Tribunal fédéral dans l’affaire Google Street View et l’entité suisse avait été considérée comme étant impliquée dans le traitement des données.

Commentaire
Cette décision se rapproche de la décision américaine de la Cour d’Appel du 2e Circuit qui a conclu que le mandat accordé par un juge américain ne permettait pas d’obliger Microsoft Corporation (société américaine) à produire les données d’un de ses clients hébergées en Europe.

La situation est également différente entre Google Spain, représentant de Google Inc. en Espagne, et les deux sociétés Facebook qui n’ont pas de relation contractuelle directe. Il n’y avait apparemment pas non plus d’indice que Facebook Suisse participe au traitement des données ou pouvait accéder aux données demandées. Pour contraindre Facebook Suisse, il aurait fallu que les juges considèrent que les différentes sociétés du groupe Facebook sont un tout et que leur séparation est artificielle et constitue un abus de droit.

Une autre possibilité aurait été de retenir qu’un réseau social est un fournisseur de services de télécommunications. Le Tribunal a seulement exclu qu’il puisse s’agir d’un fournisseur d’accès. Au lieu d’utiliser un ordre de production similaire à un séquestre, le ministère public aurait pu faire une demande d’identification basée sur la surveillance des télécommunications. La notion de fournisseur de services de télécommunications n’est actuellement pas très claire. La nouvelle Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) qui va entrer en vigueur prochainement introduit la notion de fournisseurs de services de communication dérivés, soit les fournisseurs de services qui se fondent sur des services de télécommunication, et qui pourraient être contraints de fournir certaines informations. L’Office fédéral de la communication (OFCOM) a une vision large de la notion de fournisseurs de services de télécommunication. L’avant-projet de révision de la LTC ne modifie pas cette notion et comprend les fournisseurs dits OTT (« over the top », à rapprocher de la notion de fournisseurs de services de communication dérivés de la nouvelle LSCPT).

Une troisième possibilité, probablement la plus raisonnable, serait d’adapter le cadre légal. Tout fournisseur de services en Suisse d’une certaine importance sera obligé de désigner un représentant en Suisse. Cette approche modérée, semblable à ce que prévoit le futur Règlement Général sur la Protection des Données (RGPD) en matière de traitement des données, permettrait aux autorités comme aux individus d’avoir un interlocuteur proche. Une telle obligation est en outre bien moins contraignante que l’obligation de traiter les données dans le pays (comme c’est le cas en Russie par exemple).

Voir également la décision concernant Google rendue le même jour

Une adresse IP dynamique est une donnée personnelle

La Cour de justice de l’Union européenne (CJUE) a mis fin à un long suspense en précisant que l’adresse IP dynamique d’un visiteur, enregistrée lors de la consultation d’un site web accessible au public, est une donnée personnelle pour le site web, même s’il ne peut pas identifier directement le visiteur mais qu’il a des moyens légaux de le faire identifier grâce à des informations supplémentaires dont dispose par exemple le fournisseur d’accès à Internet de cette personne.

Après les adresses statiques, les adresses dynamiques
La CJUE a déjà eu l’occasion de dire que lorsque la collecte et l’identification des adresses IP des utilisateurs d’Internet sont effectuées par les fournisseurs d’accès, les adresses IP sont des données personnelles, car elles permettent l’identification précise de ces utilisateurs.

Dans l’Affaire Patrick Breyer contre Bundesrepublik Deutschland (C-582/14), la CJUE devait préciser si les adresses IP des utilisateurs d’un site web proposé au public par un fournisseur de services de médias en ligne sont des données personnelles, même si ce fournisseur de service ne dispose pas des informations supplémentaires nécessaires pour identifier ces utilisateurs.

La Cour distingue entre les adresses IP attribuées par les fournisseurs d’accès à Internet dites «statiques» et celles dites «dynamique», car elles changent à chaque nouvelle connexion. Les adresses IP dynamiques ne permettent pas de faire le lien, au moyen de fichiers accessibles au public, entre un ordinateur donné et le branchement physique au réseau utilisé par le fournisseur d’accès à Internet. Dans cette affaire, il s’agit d’adresses IP dynamiques.

Une personne identifiable
En résumé, le fournisseur de médias en ligne dispose d’une adresse IP dynamique, ainsi que de la date et l’heure de la session de consultation de son site web à partir de cette adresse IP. Le fournisseur d’accès à Internet dispose lui d’informations supplémentaires qui, si elles sont combinées avec l’adresse IP, permettent d’identifier le titulaire de l’adresse IP.

Pour la CJUE, l’adresse IP dynamique ne se rapporte pas à une personne identifiée (l’adresse ne révèle pas directement l’identité de la personne), mais une personne identifiable. Pour rappel une donnée personnelle est une donnée qui se rapporte tant à une personne identifiée qu’à une personne identifiable. On considère que la personne est identifiable lorsque des informations supplémentaires susceptibles d’être raisonnablement mis en œuvre permettent d’identifier la personne.

Dans les cas des adresses IP, les informations supplémentaires nécessaires ne sont pas détenues par le site web, mais par le fournisseur d’accès à Internet de l’utilisateur. Pour la CJUE, cela n’empêche pas la qualification de données personnelles. Le droit allemand applicable à cette affaire ne permet certes pas au fournisseur d’accès à Internet de transmettre directement au site web les informations supplémentaires nécessaires à l’identification de la personne concernée, mais des voies légales permettent au site web de s’adresser à l’autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations auprès du fournisseur d’accès à Internet et pour déclencher des poursuites pénales.

En droit suisse, si une plainte pénale est déposée contre un inconnu identifiable au moyen d’une adresse IP, l’autorité de poursuite pénale obtiendra du fournisseur d’accès les informations d’identification et le plaignant aura aussi connaissance de ces informations.

La CJUE a finalement rappelé qu’un État membre ne peut pas déroger au droit européen et empêcher un fournisseur de services de collecter et d’utiliser des données personnelles relatives à un utilisateur, même en l’absence du consentement de celui-ci, dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et cas échéant facturer l’utilisation desdits services par cet utilisateur. Un site web peut donc, même sans le consentement de l’internaute, traiter l’adresse IP. Cette adresse ne devrait en revanche pas être conservée après une session ou pour une utilisation dans d’autres buts.

Et en Suisse
Le Tribunal fédéral avait déjà affirmé de manière claire en 2010 que l’adresse IP dynamique est une donnée personnelle (ATF 136 II 508).

Un policier qui intervient sous un faux nom sur le web n’est pas un agent infiltré

Le policier qui se fait passer pour une jeune fille sur un forum de discussions sur Internet en se basant sur un nom de fantaisie, des mensonges, une photo et une adresse électronique ne doit pas être qualifié d’agent infiltré selon un arrêt récent du Tribunal fédéral (6B_1293/2015). Une autorisation judiciaire n’est donc pas nécessaire.

Manuela_13
La police zurichoise avait participé sous le pseudonyme «manuela_13» à une discussion sur un forum de discussion (chat) du site Internet de Bluewin. Lorsque l’homme qui croyait s’entretenir avec la fille mineure lui a proposé une rencontre en vue de relations sexuelles, c’est la police qu’il a rencontrée. Le Tribunal fédéral a toutefois retenu que les preuves avaient été recueillies illégalement : toute prise de contact avec un suspect aux fins d’élucidation d’une infraction par un fonctionnaire de police qui n’est pas reconnaissable comme tel devait être qualifiée d’investigation secrète au sens de la LFIS (ATF 134 IV 266). C’était avant l’entrée en vigueur du Code de procédure pénale fédéral (CPP).

Le CPP et les recherches secrètes
Le CPP est ensuite entré en vigueur et il a été complété par des dispositions sur les recherches secrètes. L’art. 285a CPP définit désormais l’investigation secrète comme le fait, pour un policier, d’infiltrer un milieu criminel pour élucider des infractions particulièrement graves, en nouant des contacts avec des individus et en instaurant avec eux une relation de confiance particulière par le biais d’actions ciblées menées sous le couvert d’une fausse identité dont il est muni dans la durée et qui est attestée par un titre (identité d’emprunt).

Les recherches secrètes sont définies à l’art. 298a CPP comme la simple faculté pour un policier de tenter d’élucider des crimes ou des délits dans le cadre d’interventions de courte durée où son identité et sa fonction ne sont pas reconnaissables. Il n’est pas muni d’une identité d’emprunt mais il peut en revanche donner de fausses indications sur son identité.

L’investigation secrète (agent infiltré) est soumise à des conditions strictes et exige notamment une autorisation judiciaire. Les recherches secrètes sont simplement de la compétence de la police ou du ministère public si elles s’étendent sur plus d’un mois. Une autorisation judiciaire n’est pas exigée.

Sabrina
Un agent de la police zurichoise se fait passer pour Sabrina, une fille de 14 ans sur un «chat». Elle est abordée par un homme de 23 ans, qui lui propose rapidement de se rencontrer en vue de relations sexuelles. Ils échangent encore leurs adresses électroniques et numéros de téléphones portables. Une rencontre est prévue à la gare, où le jeune homme découvre que Sabrina est en réalité un agent de police et se fait arrêter. Le tribunal doit trancher la question de savoir s’il s’agit de recherches secrètes et dont les preuves obtenues sont utilisables ou d’une investigation secrète, auquel cas les preuves sont inexploitables en l’absence d’autorisation judiciaire.

La distinction entre l’activité préventive de la police, indépendante d’un soupçon d’infraction et fondée sur le droit cantonal, et l’activité fondée sur le droit fédéral de procédure pénale (lorsqu’une infraction a été commise) n’est pas toujours évidente. Le CPP ne s’applique que s’il y a un soupçon qu’une infraction a été commise (ou est en train d’être commise). Dans le cas présent, c’est d’abord sous l’angle préventif et tel que prévu par la loi de police zurichoise que le policier est intervenu sur le forum de discussion. Dès lors que le jeune homme a envoyé une photo de lui nu, le soupçon de pornographie est réalisé et il ne s’agit plus de surveillance préventive mais bien d’une recherche secrète (ou éventuellement d’une investigation secrète).

Le Tribunal fédéral considère que le policier n’a pas utilisé une identité d’emprunt mais qu’il s’est contenté de simples mensonges sur son âge, sexe et lieu de résidence. Il a transmis une adresse électronique, une photo, une description et un numéro de téléphone portable (qui était attribué à la police). Il ne s’est pas appuyé sur des titres mais principalement sur des informations et noms de fantaisie. Un titre, selon la définition de l’art. 110 al. 4 CP est un écrit destiné et propre à prouver un fait ayant une portée juridique. Les contacts n’ont eu lieu que de manière virtuelle et cela n’a duré que pendant quelques jours (contre plusieurs mois en principe pour les agents infiltrés).

Avec cette décision, le Tribunal fédéral a choisi de ne pas qualifier de titre les éléments échangés (adresse électronique, photo, etc.), quand bien même il a précédemment admis un faux dans les titre pour un courriel (sans signature électronique) car l’identité de l’expéditeur était clairement reconnaissable (6B_130/2012). C’est une décision assez favorable pour les forces de l’ordre. Le résultat aurait pu être différent si l’adresse utilisée était de type prenom.nom@entreprise.ch et laissait penser que la personne travaillait dans cette entreprise ou correspondait à une personne existante, ou si le numéro de téléphone avait été inscrit sous un faux nom.

La surveillance secrète d’un assuré viole sa sphère privée

La Suisse s’est fait taper sur les doigts par la Cour européenne des droits de l’Homme (CourEDH) en matière de surveillance. Dans un arrêt de principe 135 I 169, le Tribunal fédéral avait retenu que la surveillance d’un assuré par une caisse d’assurance sociale est admissible et qu’elle pouvait recourir aux services d’un détective privé pour autant que la surveillance se limite à l’espace public. Pour la CourEDH en revanche, la surveillance secrète, même conduite dans l’espace public, constitue une atteinte à la sphère privée. Il aurait alors fallu, pour qu’elle soit admissible, qu’une loi en prévoie les modalités. Ce n’est pas le cas et la Suisse a donc été condamnée le 18 octobre 2016 (Vukota-Bojic c. Suisse, no 61838/10).

Victime d’un accident de la route en 1995, la recourante se voit accorder une rente complète d’invalidité par le tribunal cantonal (malgré le refus initial de l’assureur). En 2005, l’assureur décide de suspendre les prestations et demande à la recourante de subir des nouveaux examens, ce qu’elle refuse. L’assureur la fait alors surveiller en secret par des détectives privés.

La sphère privée existe aussi dans l’espace public
Les enquêteurs ont agi de manière systématique et ont observé la recourante pendant quatre fois sept heures sur une période de vingt-trois jours. Ils l’ont notamment filmée en train de promener son chien, faire de longs trajets en voiture ou faire des achats. Un médecin rédige ensuite un avis sur la base du rapport de surveillance et l’assurance réduit ses prestations. La recourante conteste la légalité des preuves et de l’avis du médecin qui en découle.

La CourEDH a eu à plusieurs occasions la possibilité de rappeler que l’interaction d’une personne avec d’autres dans l’espace public peut entrer dans la définition de sphère privée. Celle-ci ne s’arrête en effet pas à la sortie de sa maison. L’enregistrement systématique ou permanent d’une personne se distingue de l’usage normal d’une caméra de sécurité dans l’espace public. Il s’agissait ici d’un enregistrement intentionnel, dirigé sur la recourante et effectué par des professionnels sur instruction de la recourante.

L’absence de loi prévoyant une telle surveillance
L’assureur intervient au titre de l’assurance accidents obligatoire et a donc la qualité d’autorité (ce qui lui permet de rendre des décisions mais l’oblige aussi à respecter la procédure administrative et les principes constitutionnels). Ses activités doivent dès lors reposer sur une loi.

L’art. 43 al. 1 de la Loi fédérale sur la partie générale du droit des assurances sociales (LPGA) prévoit que l’assureur prend les mesures d’instruction nécessaires et recueille les renseignements dont il a besoin. Cette disposition toute générale est insuffisante aux yeux de la CourEDH car il n’y a aucune exigence d’une procédure d’autorisation ou de contrôle, pas de durée maximum, pas de contrôle judiciaire, pas de règles sur la conservation, l’utilisation ou la destruction des données recueillies, les personnes pouvant y accéder, etc.

Les compagnies d’assurance jouissent alors d’un (trop) grand pouvoir d’appréciation pour décider si, et comment, une surveillance doit être menée.

Et maintenant ?
Si les assureurs veulent pouvoir mener de telles surveillances secrètes, une loi (en particulier la LPGA) doit prévoir cette éventualité, les cas dans lesquelles elle serait justifiée, les modalités d’exécution et une autorité de contrôle ou devant laquelle la personne visée pourrait contester la surveillance.

A noter finalement que si l’assureur était intervenu au titre d’une assurance privée (et non d’une assurance sociale), l’exigence d’une base légale nécessaire à l’activité d’une autorité n’aurait pas été retenue et la surveillance aurait surtout dû respecter les principes généraux de la LPD. Il n’est donc pas exclu qu’elle aurait pu être admissible dans ce cas.

Localisation rétroactive du téléphone pour identifier l’auteur d’un excès de vitesse

La Loi sur le renseignement sur laquelle le peuple suisse se prononcera le 25 septembre 2016 pourrait introduire des moyens de surveillance que la procédure pénale ne connaît pas, comme les perquisitions informatiques à distance et la fouille de locaux, véhicules ou conteneurs à l’insu des personnes concernées (art. 26 LRens). Les mesures de surveillance à disposition actuellement des autorités pénales ont aussi été renforcées dans le cadre de la révision de la Loi sur la surveillance de la correspondance par poste et télécommunications  avec l’introduction dans le Code de procédure pénale des dispositifs techniques spéciaux de surveillance de la correspondance par télécommunication (art. 269bis CPP; IMSI Catcher) et de programmes informatiques spéciaux de surveillance de la correspondance par télécommunication (art. 269ter CPP; chevaux de Troie). Les dispositions actuellement en vigueur ont été interprétées de manière très favorable à la surveillance, comme le fait de considérer que les courriels accessibles par le biais du fournisseur de service sont un cas de séquestre plutôt que de surveillance de la correspondance, ce qui permet un accès rétroactif au contenu.

Localiser avec une surveillance rétroactive
Le Tribunal fédéral a récemment confirmé dans deux affaires distinctes qu’un excès de vitesse pouvait justifier une surveillance téléphonique rétroactive (1B_206/2016 et 1B_235/2016).

La première affaire concerne un dépassement de vitesse de 29 km/h dans une zone limitée à 50 km/h dont le propriétaire du véhicule qui était à l’étranger au moment des faits refuse, comme il en a le droit, de dénoncer ses proches. Le Ministère public ordonne alors la surveillance téléphonique rétroactive des appareils utilisés par l’épouse et les deux filles pour les localiser durant cette journée. Dans le second cas, le propriétaire du véhicule circulant à une vitesse de 85 km/h au lieu de 60 km/h a indiqué ne pas être en mesure de désigner le conducteur au moment des faits car ce véhicule était utilisé régulièrement par des personnes différentes. Le Ministère public ordonne ici la surveillance rétroactive du raccordement téléphonique du propriétaire pour la journée en question avec les données de géolocalisation afin de vérifier qu’il n’était pas dans le véhicule. Comme il est soumis au secret professionnel, un tri sera effectué par le Tribunal des mesures de contrainte conformément à l’art. 271 al. 1 CPP.

La surveillance rétroactive ne porte pas sur le contenu mais sur les métadonnées qui sont conservées pendant six mois (données relatives au trafic et à la facturation, y compris données de localisation). L’art. 273 CPP prévoit qu’une telle mesure est possible en cas de graves soupçons qu’un crime ou un délit a été commis. La mesure doit en outre être justifiée au regard de la gravité de l’infraction, elle doit être subsidiaire à d’autres mesures d’investigation moins invasives qui aboutiraient aux mêmes résultats, et elle doit être proportionnée.

Le Tribunal fédéral a retenu que l’on était en présence d’un délit (90 al. 2 LCR et 10 al. 3 CP) s’agissant d’un grave dépassement de la vitesse autorisée dans une localité (égal ou supérieur à 25 km/h) et passible d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire. Il existe un intérêt public important à ce que ce type d’infraction ne demeure pas impuni et la localisation des appareils est susceptible de fournir un indice important quant à l’identité du conducteur. Il n’y a apparemment pas d’autre moyen légal d’obtenir l’identité du conducteur.

Une mesure proportionnée?
Les conditions de surveillance sont remplies et l’atteinte à la sphère privée est limitée puisque seule la localisation des appareils de quelques personnes à une date précise intéresse les enquêteurs. Les métadonnées peuvent néanmoins fournir bien d’autres informations et plusieurs des personnes visées sont obligatoirement innocentes (il ne peut pas y avoir plusieurs conducteurs pour une seule voiture à un moment donné). La présence d’une personne à proximité de la voiture n’indique pourtant pas encore si elle conduisait, si elle était passagère ou à l’extérieur du véhicule.

Les mesures de surveillance, en raison de leur atteinte à la sphère privée et de leurs coûts, doivent être utilisées de manière mesurée et réservés aux infractions les plus graves. Même si l’excès de vitesse est un délit, on peut se demander si de telles mesures étaient réellement justifiées ou s’il n’aurait pas plutôt fallu renoncer à sanctionner cette infraction.

Microsoft n’a pas à transmettre au gouvernement américain les données hébergées en Europe

La Cour d’Appel du 2e Circuit est arrivée à la conclusion que le mandat accordé par un juge ne permettait pas d’obliger Microsoft Corporation (société américaine) à produire les données d’un de ses clients hébergées en Europe (Décision du 14 juillet 2016, Microsoft Corporation v. Government of the United States of America, Docket No. 14‐2985).  Cette décision est sujette à recours devant la Cour Suprême.

Le cadre de l’affaire
Dans le cadre d’un affaire de stupéfiants, un juge américain a émis un mandat («warrant») à la demande du gouvernement ordonnant à Microsoft Corporation, dont le siège est à Redmond (Etat de Washington), de produire les courriels de l’utilisateur d’une adresse @msn.com. Microsoft a remis les métadonnées (informations qui ne concernent pas le contenu) qui étaient hébergées aux USA, mais a refusé de transmettre le contenu hébergé sur les serveurs en Irlande. On ignore la nationalité et le domicile de l’utilisateur.

Les données sont en principe hébergées dans la région où le client est situé, ce qui est déterminé automatiquement en fonction du pays. Certaines données sont néanmoins toujours hébergées aux USA: des métadonnées dans un but de test et contrôle de qualité, certaines informations au sujet du carnet d’adresse de l’utilisateur et certaines informations de base comme le nom de l’utilisateur et son pays.

Pour la Cour comme pour les parties, il ne fait pas de doute que les données visées étaient bien hébergées en Irlande et qu’il aurait fallu les collecter en Irlande pour pouvoir les fournir au gouvernement américain. Microsoft a cependant admis qu’à certaines conditions, il lui était possible de télécharger les données hébergées hors USA depuis certains bureaux aux USA.

Un mandat SCA
Le mandat a été accordé sur la base du Stored Communication Act (SCA) de 1986, soit le titre II du Electronic Communications Privacy Act (ECPA). Le SCA a été adopté par le Congrès pour accorder aux documents électroniques une protection similaire à celle du IVe Amendement (exigence d’un mandat pour procéder à une perquisition).

Le SCA ne contient aucune mention d’une application extraterritoriale. Quant à la compétence de délivrer un mandat, elle permet au juge d’un district de délivrer un mandat qui devra être exécuté dans d’autres districts (mais elle ne mentionne pas d’autres pays).

La Cour mentionne une décision de 1983 dans la cause Marc Rich où elle avait admis qu’un Grand Jury pouvait, sur la base d’une assignation («subpoena»), exiger la production par le défenseur de documents qu’il détenait à l’étranger (en l’occurrence en Suisse). Si la Cour considère qu’il est justifié d’obliger une partie à produire des documents qu’elle détient à l’étranger dans un cause qui a des effets aux USA, il en va différemment lorsque les documents sont confiés à un tiers qui est le destinataire de la demande. Au surplus, la Cour Suprême a eu l’occasion de confirmer qu’un client ne peut pas se prévaloir d’un intérêt digne de protection s’agissant des dossiers concernant ses comptes (il s’agit de documents de la banque et non de papiers privés).

Etant arrivée à la conclusion qu’un mandat basé sur le SCA ne permet pas d’obtenir de Microsoft Corporation la production de données hébergées en Irlande, la Cour devait encore vérifier si le SCA ne permettait pas d’obtenir les données sans mandat. Elle a considéré que le but même du SCA était de protéger la sphère privée des utilisateurs et qu’en accédant aux courriels en Irlande depuis les USA, Microsoft Corporation devrait agir depuis les USA et était donc soumis au droit américain (et qui donc exige un mandat). Il n’est donc pas possible de considérer que la protection du SCA ne s’applique pas à la transmission des données par une société aux USA, même si les données sont initialement à l’étranger.

Le lieu du serveur
Cette décision permet donc à un client, y compris américain, de choisir que ses données seront hébergées à l’étranger et soustraites au gouvernement américain. Ce sont les termes du contrat entre client et fournisseur qui indirectement posent les limites à l’accès de l’Etat. Le lieu du serveur est d’une certaine manière plus importante que le lieu du siège de la société. Dans ce cas précis, la Cour a posé des limites strictes à l’application extraterritoriale du droit américain. Ces limites ne découlent pas du principe que le droit américain ne doit pas s’appliquer hors des USA, mais simplement que ce n’était pas le but visé par cette loi en particulier.

Cela ne signifie pas pour autant que le gouvernement américain ne peut pas obtenir ces données, mais simplement qu’il doit construire sa demande sur une autre loi, par exemple un traité d’entraide judiciaire. Il est aussi imaginable que le Congrès modifie le SCA pour permettre à un mandat de viser des données hébergées à l’étranger.

Finalement un simple choix commercial du fournisseur de modifier l’emplacement de ses serveurs ou de réorganiser les allocations au sein de ses différents serveurs pourrait aussi exposer le client.

Publications: Contrainte reconnue dans un cas de harcèlement obsessionnel

Le législateur a refusé d’ajouter dans le Code pénal une infraction de harcèlement obsessionnel («stalking») au motif que les éléments qui le constituent sont le plus souvent déjà sanctionnés individuellement. Dans un arrêt récent (141 IV 437), le Tribunal fédéral  a dû examiner certains actes revêtaient une intensité suffisante pour être comparable à un acte de violence ou une menace et ainsi réaliser l’infraction de contrainte de l’art. 181 CP. Pour ce faire,  le Tribunal fédéral a tenu compte des comportements précédents, et cela qu’ils aient eu lieu dans le monde réel ou en ligne.

J’ai résumé et commenté cette décision dans la revue Medialex 4/16.