Ceci est une archive

Ce site n’est plus mis à jour depuis 2016. Il s’agit seulement d’une archive. Lire la suite

Publicités

La justice peut-elle obtenir de Google Switzerland l’identité de l’utilisateur d’un compte Gmail ?

Alors qu’il vient de déclarer que le Ministère public vaudois ne peut contraindre Facebook Switzerland Sàrl (Facebook Suisse) à produire les données d’un compte Facebook, le Tribunal fédéral refuse (provisoirement) de reconnaître une obligation pour Google Switzerland GmbH de donner l’identité du titulaire d’une adresse @gmail.com (1B_142/2016). L’affaire est renvoyée à l’autorité cantonale pour éclaircir les faits.

Un service fourni par Google Inc.
Le 16 juin 2015, le Ministère public central du canton de Vaud a ouvert une instruction pénale contre inconnu pour violation du droit d’auteur, suite à une plainte/dénonciation de la Société française des auteurs, compositeurs et éditeurs de musique (SACEM) dirigée contre l’administrateur d’un site web qui aurait diffusé à large échelle des œuvres musicales en proposant des liens de téléchargements illicites. Le Ministère public vaudois a alors requis de la société Google Switzerland GmbH la production de l’identité du détenteur d’un compte Gmail, les adresses IP utilisées pour créer le compte, le log de connexions et les adresses IP en relation avec ces logs dès 2008 ainsi que le contenu privé du compte.

Google Switzerland explique que les informations demandées sont en mains de la société américaine Google Inc.. Google Switzerland GmbH exerce un contrôle de la compatibilité avec le droit suisse du contenu des blogs hébergés par un site dont elle est l’administratrice, ainsi que d’autres activités en lien avec les annonces publicitaires, mais elle n’intervient pas en lien avec l’exploitation d’un compte Gmail, le système de messagerie électronique Gmail étant exploité en Californie par la société américaine Google Inc.. Le Tribunal fédéral a considéré que ce point n’était pas suffisant établi et a renvoyé l’affaire pour compléter l’état de fait.

Une situation différente en matière de protection des données
Le Tribunal fédéral a profité de rappeler, comme dans la décision concernant Facebook rendue le même jour (lien), que la situation différait de l’affaire Google Street View qui concernait une cause de droit public relative à la protection des données: la société suisse impliquée était en lien direct avec l’activité concernant Google Street View (en particulier la production et le traitement des images, le traitement des demandes d’effacement), même si on ne pouvait retenir un rapport de représentation entre les sociétés suisse et américaine. Pour le TF, cette jurisprudence de droit public ne saurait s’appliquer dans le cadre d’une demande de preuve en matière pénale.

Commentaire
Le raisonnement est le même que pour la décision Facebook du même jour. On peut néanmoins regretter sincèrement dans ces deux décisions que le Tribunal fédéral soit resté très lacunaire sur certaines questions essentielles, comme la raison pour laquelle un traitement différent s’impose en droit pénal et en droit public (protection des données), ou sur la question du fournisseur de services de télécommunication. Si l’on peut éventuellement discuter s’agissant d’un réseau social, la question ne fait pas de doute concernant un fournisseur de messagerie…

On s’étonnera finalement que ces deux décisions importantes, dont au moins l’une sera publiée au recueil officiel, ne contiennent aucune référence à la doctrine.

Un policier qui intervient sous un faux nom sur le web n’est pas un agent infiltré

Le policier qui se fait passer pour une jeune fille sur un forum de discussions sur Internet en se basant sur un nom de fantaisie, des mensonges, une photo et une adresse électronique ne doit pas être qualifié d’agent infiltré selon un arrêt récent du Tribunal fédéral (6B_1293/2015). Une autorisation judiciaire n’est donc pas nécessaire.

Manuela_13
La police zurichoise avait participé sous le pseudonyme «manuela_13» à une discussion sur un forum de discussion (chat) du site Internet de Bluewin. Lorsque l’homme qui croyait s’entretenir avec la fille mineure lui a proposé une rencontre en vue de relations sexuelles, c’est la police qu’il a rencontrée. Le Tribunal fédéral a toutefois retenu que les preuves avaient été recueillies illégalement : toute prise de contact avec un suspect aux fins d’élucidation d’une infraction par un fonctionnaire de police qui n’est pas reconnaissable comme tel devait être qualifiée d’investigation secrète au sens de la LFIS (ATF 134 IV 266). C’était avant l’entrée en vigueur du Code de procédure pénale fédéral (CPP).

Le CPP et les recherches secrètes
Le CPP est ensuite entré en vigueur et il a été complété par des dispositions sur les recherches secrètes. L’art. 285a CPP définit désormais l’investigation secrète comme le fait, pour un policier, d’infiltrer un milieu criminel pour élucider des infractions particulièrement graves, en nouant des contacts avec des individus et en instaurant avec eux une relation de confiance particulière par le biais d’actions ciblées menées sous le couvert d’une fausse identité dont il est muni dans la durée et qui est attestée par un titre (identité d’emprunt).

Les recherches secrètes sont définies à l’art. 298a CPP comme la simple faculté pour un policier de tenter d’élucider des crimes ou des délits dans le cadre d’interventions de courte durée où son identité et sa fonction ne sont pas reconnaissables. Il n’est pas muni d’une identité d’emprunt mais il peut en revanche donner de fausses indications sur son identité.

L’investigation secrète (agent infiltré) est soumise à des conditions strictes et exige notamment une autorisation judiciaire. Les recherches secrètes sont simplement de la compétence de la police ou du ministère public si elles s’étendent sur plus d’un mois. Une autorisation judiciaire n’est pas exigée.

Sabrina
Un agent de la police zurichoise se fait passer pour Sabrina, une fille de 14 ans sur un «chat». Elle est abordée par un homme de 23 ans, qui lui propose rapidement de se rencontrer en vue de relations sexuelles. Ils échangent encore leurs adresses électroniques et numéros de téléphones portables. Une rencontre est prévue à la gare, où le jeune homme découvre que Sabrina est en réalité un agent de police et se fait arrêter. Le tribunal doit trancher la question de savoir s’il s’agit de recherches secrètes et dont les preuves obtenues sont utilisables ou d’une investigation secrète, auquel cas les preuves sont inexploitables en l’absence d’autorisation judiciaire.

La distinction entre l’activité préventive de la police, indépendante d’un soupçon d’infraction et fondée sur le droit cantonal, et l’activité fondée sur le droit fédéral de procédure pénale (lorsqu’une infraction a été commise) n’est pas toujours évidente. Le CPP ne s’applique que s’il y a un soupçon qu’une infraction a été commise (ou est en train d’être commise). Dans le cas présent, c’est d’abord sous l’angle préventif et tel que prévu par la loi de police zurichoise que le policier est intervenu sur le forum de discussion. Dès lors que le jeune homme a envoyé une photo de lui nu, le soupçon de pornographie est réalisé et il ne s’agit plus de surveillance préventive mais bien d’une recherche secrète (ou éventuellement d’une investigation secrète).

Le Tribunal fédéral considère que le policier n’a pas utilisé une identité d’emprunt mais qu’il s’est contenté de simples mensonges sur son âge, sexe et lieu de résidence. Il a transmis une adresse électronique, une photo, une description et un numéro de téléphone portable (qui était attribué à la police). Il ne s’est pas appuyé sur des titres mais principalement sur des informations et noms de fantaisie. Un titre, selon la définition de l’art. 110 al. 4 CP est un écrit destiné et propre à prouver un fait ayant une portée juridique. Les contacts n’ont eu lieu que de manière virtuelle et cela n’a duré que pendant quelques jours (contre plusieurs mois en principe pour les agents infiltrés).

Avec cette décision, le Tribunal fédéral a choisi de ne pas qualifier de titre les éléments échangés (adresse électronique, photo, etc.), quand bien même il a précédemment admis un faux dans les titre pour un courriel (sans signature électronique) car l’identité de l’expéditeur était clairement reconnaissable (6B_130/2012). C’est une décision assez favorable pour les forces de l’ordre. Le résultat aurait pu être différent si l’adresse utilisée était de type prenom.nom@entreprise.ch et laissait penser que la personne travaillait dans cette entreprise ou correspondait à une personne existante, ou si le numéro de téléphone avait été inscrit sous un faux nom.

Localisation rétroactive du téléphone pour identifier l’auteur d’un excès de vitesse

La Loi sur le renseignement sur laquelle le peuple suisse se prononcera le 25 septembre 2016 pourrait introduire des moyens de surveillance que la procédure pénale ne connaît pas, comme les perquisitions informatiques à distance et la fouille de locaux, véhicules ou conteneurs à l’insu des personnes concernées (art. 26 LRens). Les mesures de surveillance à disposition actuellement des autorités pénales ont aussi été renforcées dans le cadre de la révision de la Loi sur la surveillance de la correspondance par poste et télécommunications  avec l’introduction dans le Code de procédure pénale des dispositifs techniques spéciaux de surveillance de la correspondance par télécommunication (art. 269bis CPP; IMSI Catcher) et de programmes informatiques spéciaux de surveillance de la correspondance par télécommunication (art. 269ter CPP; chevaux de Troie). Les dispositions actuellement en vigueur ont été interprétées de manière très favorable à la surveillance, comme le fait de considérer que les courriels accessibles par le biais du fournisseur de service sont un cas de séquestre plutôt que de surveillance de la correspondance, ce qui permet un accès rétroactif au contenu.

Localiser avec une surveillance rétroactive
Le Tribunal fédéral a récemment confirmé dans deux affaires distinctes qu’un excès de vitesse pouvait justifier une surveillance téléphonique rétroactive (1B_206/2016 et 1B_235/2016).

La première affaire concerne un dépassement de vitesse de 29 km/h dans une zone limitée à 50 km/h dont le propriétaire du véhicule qui était à l’étranger au moment des faits refuse, comme il en a le droit, de dénoncer ses proches. Le Ministère public ordonne alors la surveillance téléphonique rétroactive des appareils utilisés par l’épouse et les deux filles pour les localiser durant cette journée. Dans le second cas, le propriétaire du véhicule circulant à une vitesse de 85 km/h au lieu de 60 km/h a indiqué ne pas être en mesure de désigner le conducteur au moment des faits car ce véhicule était utilisé régulièrement par des personnes différentes. Le Ministère public ordonne ici la surveillance rétroactive du raccordement téléphonique du propriétaire pour la journée en question avec les données de géolocalisation afin de vérifier qu’il n’était pas dans le véhicule. Comme il est soumis au secret professionnel, un tri sera effectué par le Tribunal des mesures de contrainte conformément à l’art. 271 al. 1 CPP.

La surveillance rétroactive ne porte pas sur le contenu mais sur les métadonnées qui sont conservées pendant six mois (données relatives au trafic et à la facturation, y compris données de localisation). L’art. 273 CPP prévoit qu’une telle mesure est possible en cas de graves soupçons qu’un crime ou un délit a été commis. La mesure doit en outre être justifiée au regard de la gravité de l’infraction, elle doit être subsidiaire à d’autres mesures d’investigation moins invasives qui aboutiraient aux mêmes résultats, et elle doit être proportionnée.

Le Tribunal fédéral a retenu que l’on était en présence d’un délit (90 al. 2 LCR et 10 al. 3 CP) s’agissant d’un grave dépassement de la vitesse autorisée dans une localité (égal ou supérieur à 25 km/h) et passible d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire. Il existe un intérêt public important à ce que ce type d’infraction ne demeure pas impuni et la localisation des appareils est susceptible de fournir un indice important quant à l’identité du conducteur. Il n’y a apparemment pas d’autre moyen légal d’obtenir l’identité du conducteur.

Une mesure proportionnée?
Les conditions de surveillance sont remplies et l’atteinte à la sphère privée est limitée puisque seule la localisation des appareils de quelques personnes à une date précise intéresse les enquêteurs. Les métadonnées peuvent néanmoins fournir bien d’autres informations et plusieurs des personnes visées sont obligatoirement innocentes (il ne peut pas y avoir plusieurs conducteurs pour une seule voiture à un moment donné). La présence d’une personne à proximité de la voiture n’indique pourtant pas encore si elle conduisait, si elle était passagère ou à l’extérieur du véhicule.

Les mesures de surveillance, en raison de leur atteinte à la sphère privée et de leurs coûts, doivent être utilisées de manière mesurée et réservés aux infractions les plus graves. Même si l’excès de vitesse est un délit, on peut se demander si de telles mesures étaient réellement justifiées ou s’il n’aurait pas plutôt fallu renoncer à sanctionner cette infraction.

Responsabilité civile des fournisseurs de services Internet

Dans son rapport intitulé «Cadre juridique pour les médias sociaux»  publié à l’automne 2013, le Conseil fédéral confirmait que le droit suisse ne présente pas de lacunes importantes et rappelle que même s’il n’y a pas une loi particulière pour les réseaux sociaux ou Internet, il ne s’agit pas d’une zone de non-droit. Parmi les questions ouvertes, il y avait celle de la responsabilité civile des intermédiaires, en particulier des fournisseurs de services qui permettent l’accès à un réseau et à des contenus. Encore une fois, le Conseil fédéral est arrivé à la conclusion qu’il n’est pas nécessaire, dans les conditions actuelles, d’édicter des dispositions de portée générale sur la responsabilité des fournisseurs.

Distinguer cessation d’une atteinte et responsabilité pour le dommage
Le Rapport du Conseil fédéral du 11 décembre 2015 sur la responsabilité civile des fournisseurs de services Internet dresse un panorama assez complet des dispositions légales applicables en distinguant les actions défensives (prévention et cessation d’une atteinte) des actions en réparation (paiement d’un dommage intérêt y compris tort-moral et remise de gain) dans les domaines de la protection de la personnalité, de la protection des données, de la concurrence déloyale et de la propriété intellectuelle. Une partie importante est consacrée au droit étranger, en particulier avec un avis de droit de l’Institut suisse de droit comparé consacré à la situation en Allemagne, France, Danemark, Royaume-Uni et États-Unis d’Amérique.

Le rapport présente un état de la situation et n’apporte malheureusement guère de réponses lorsque la doctrine est partagée. Ce sera bien aux tribunaux de trancher, même si l’on constate qu’il y a encore peu de jurisprudence. Les affaires les plus importantes ont d’ailleurs déjà été abordées sur ce blog comme l’arrêt «Tribune de Genève» du Tribunal fédéral, l’arrêt jurassien «Google Suggest» ou l’arrêt «Delfi» de la Cour européenne des droits de l’Homme.

Le Conseil fédéral considère que le droit en vigueur fournit d’ores et déjà aux tribunaux les instruments nécessaires pour écarter une légitimation passive dans le cas où la participation à l’atteinte n’est pas dans un lien de causalité adéquate, ce qui serait selon lui le cas pour les fournisseurs d’accès. Ce dernier point est à mon avis discutable.

Des mesures spécifiques seront examinées dans le cadre de la révision du droit d’auteur et une mesure de blocage est aussi prévue dans le projet de loi fédérale sur les jeux d’argent pour les offres de jeux d’argent enregistrées à l’étranger.

S’agissant de la responsabilité à l’égard des contenus mis en ligne, le critère déterminant est celui de la proximité du fournisseur avec le contenu. Un manque de diligence ne devrait être reproché au fournisseur d’hébergement que s’il est resté inactif après avoir reçu des indications précises d’une violation flagrante du droit et s’il n’a pas pris les mesures que l’on pouvait attendre de lui. Si le fournisseur n’a reçu aucune indication, une obligation spontanée ne devrait être retenue que pour les fournisseurs proches du contenu, comme les portails d’actualités ou les hébergeurs de forums et de blogs, et si des atteintes paraissent probables compte tenu des circonstances particulières.

Droit à connaître l’identité de l’auteur
Contrairement à la procédure pénale où une procédure peut être ouverte contre inconnu, cette possibilité n’existe pas en droit civil, d’où l’intérêt de pouvoir faire cesser toute atteinte par un participant même s’il n’en est pas l’auteur ou le responsable. Lorsque la commission par Internet d’un acte punissable est suspectée, les autorités de poursuites pénales ont la possibilité d’obtenir des fournisseurs de services de télécommunication et des fournisseurs de services de communication dérivés toute indication permettant d’identifier son auteur.

L’utilisation de la procédure pénale dans le seul but de bénéficier de la levée du secret des télécommunications pour connaître l’auteur de l’infraction en vue d’une procédure civile a été considéré comme un abus de droit dans les affaires Logistep. Le Conseil fédéral ne propose cependant pas de solution générale pour résoudre ce problème considérant qu’il n’est pas propre aux infractions commises sur Internet. S’agissant du droit d’auteur, des mesures seront étudiées séparément.

Un domaine ou un site web ne peut pas être séquestré

Dans un arrêt non publié (1B_294/2014), le Tribunal fédéral a refusé le séquestre d’un domaine Internet. Pour le tribunal cantonal valaisan, le blocage était comparable à une destruction au sens de l’art. 69 al. 2 CP, comme le pensaient plusieurs autres tribunaux cantonaux.

Pour le Tribunal fédéral, le blocage ne constitue pas une destruction d’un objet dangereux comme le permet l’art. 69 al. 2 CP, mais c’est la cessation immédiate d’un comportement (à savoir la publication d’opinions sur un site web). De plus, la destruction au sens de l’art. 69 al. 2 CP est une sanction pénale qui ne peut être ordonnée que par un juge de première instance dans un jugement pénal (art. 69 al. 2 CP) et non au stade de l’instruction.

Pas de confiscation d’un site web
La mesure étant disproportionnée, le Tribunal fédéral renvoie la cause sans trancher la question essentielle de savoir si des pages web peuvent être considérés comme des objets dangereux ou des instruments délictuels pouvant faire l’objet d’une confiscation sur la base de l’art. 69 al. 1 CP.

Le Tribunal fédéral exclut néanmoins implicitement la confiscation d’un site web ou de son accès, dès lors qu’il considère que le blocage correspond à la cessation d’un comportement.

A la demande de la revue juridique Medialex, j’ai commenté cette décision avec Nicolas Guyot dans l’édition 7/8 2015.

Le séquestre de courriers électroniques chez le fournisseurs de télécommunications

Pour le tribunal fédéral (ATF 140 IV 181), les courriels qu’un prévenu a relevés sur le serveur du fournisseur de service de télécommunication peuvent être séquestrés chez le fournisseur, alors que ceux qui n’ont pas encore été relevés peuvent faire l’objet d’une surveillance en temps réel. Le secret de la correspondance disparaît dès que les courriels sont relevés, même s’ils restent accessibles sur le serveur et qu’ils n’ont pas été lus.

Séquestre ou surveillance de la correspondance ?
Un homme est accusé de meurtre et sa correspondance électronique contient des éléments nécessaires à l’enquête. La question qui se pose est de savoir quelle mesure (et donc quelles conditions) s’applique dans ce cas. De manière générale, lorsqu’une autorité pénale souhaite accéder à la correspondance électronique d’un prévenu, trois possibilités s’offrent à elle :

  • Le séquestre (263 CPP), qui permet de saisir les objets et valeurs patrimoniales appartenant au prévenu ou à des tiers lorsqu’il est probable qu’ils seront utilisés comme moyens de preuves. S’ils sont détenus par un tiers, ce dernier est soumis à une obligation de dépôt. Le prévenu est informé du séquestre par une ordonnance du ministère public.
  • La surveillance en temps réel (269 CPP) des télécommunications qui peut être ordonnée par le ministère public lorsque de graves soupçons laissent présumer qu’une infraction contenue dans la liste de l’art. 269. al. 2 CPP a été commise et que cette mesure est proportionnée. Elle doit être autorisée par le tribunal des mesures de contraintes. Cette mesure est secrète mais le prévenu peut ensuite la contester dans les 10 jours suivant son information. La surveillance porte sur le contenu et les données accessoires.
  • La surveillance rétroactive (273 CPP) qui se limite aux données relatives au trafic et à la facturation et identification des usagers (données accessoires). Elle peut être ordonnée par le ministère public lorsque de graves soupçons laissent présumer qu’un crime, un délit ou une contravention au sens de l’art. 179septies CP a été commis et que cette mesure est proportionnée. Elle doit être autorisée par le tribunal des mesures de contraintes. Cette mesure est secrète mais le prévenu peut ensuite la contester dans les 10 jours suivant son information. Il n’y a pas de surveillance rétroactive du contenu des courriels et les données accessoires peuvent être demandées avec effet rétroactif sur une période de six mois au plus.

Les limites du secret des télécommunications
La sphère privée de l’utilisateur est protégée par le secret des télécommunications qui s’applique durant le processus de communication. Ainsi un courrier postal est protégé pendant l’envoi, mais plus une fois qu’il est remis à son destinataire. On considère qu’il y a remise également lors du dépôt dans la boîte aux lettres du destinataire puisque l’on est dans sa sphère de maîtrise et que le fournisseur n’y a plus accès. Dans le cas d’une case postale, la maîtrise est partagée et le secret se prolonge jusqu’à ce que le destinataire accède à la case. Pour que l’autorité puisse obtenir le courrier qui est dans la boîte aux lettres (ou dans la case postale si le destinataire l’a ouverte et a choisi de l’y laisser), on appliquera les règles du séquestre, alors que pour le courrier dans la case non ouverte, ce sera celles de la surveillance de la correspondance (en temps réel).

Critique
L’analogie avec la case postale a ses limites en raison de l’ubiquité des données électroniques. Premièrement, relever un courriel ne signifie pas, selon le protocole utilisé, qu’il n’est plus sur le serveur. Le protocole POP3 généralement se connecte au serveur de messagerie, récupère le message et l’efface du serveur. En revanche, le protocole IMAP laisse les courriels sur le serveur dans le but de pouvoir les consulter de différents clients de messagerie. Pour le TF, celui qui utilise le protocole IMAP, pourtant très répandu car il permet d’accéder à sa messagerie depuis un téléphone et un ordinateur par exemple, renonce de fait à la protection du secret de la correspondance pour tous les messages qu’il a reçu.

Deuxièmement, lorsqu’un message est partiellement téléchargé, par exemple lorsqu’il est automatiquement poussé («push») sur un téléphone portable mais que seuls l’expéditeur et l’objet sont affichés (le corps du message étant encore exclusivement sur le serveur), le TF considérera-t-il qu’il est déjà entièrement dans la sphère du destinataire ?

Troisièmement, le TF retient que la consultation des messages déposés (mais pas encore relevés) dans la boîte électronique est une surveillance en temps réel et non rétroactive (ce qui permet l’accès au contenu). Sachant que les messages peuvent avoir été déposés plusieurs semaines auparavant, on peut se demander si l’on n’aurait pas déjà dû considérer que ce qui est arrivé dans la boîte est soumis à une surveillance rétroactive.

A mon avis, il aurait certainement été plus simple de considérer que toute acquisition directement chez le fournisseur est une surveillance des télécommunications, par opposition à l’acquisition chez le prévenu qui serait un séquestre. Cela éviterait aussi au ministère public de devoir savoir à l’avance si le prévenu a déjà relevé ou non un message qu’il souhaite obtenir et au fournisseur de séparer les messages sur le serveur qui ont déjà été relevés de ceux qui ne l’ont pas été (ce qui est une question indépendante de savoir s’ils sont marqués comme lus ou non lus!). Aux Etats-Unis, le Stored Communications Act prévoit un régime différent selon que les messages ont plus ou moins 180 jours, ce qui offre au moins un critère objectif.