-
- Art. 3 Cst.
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 13 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 26 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 96 al. 1 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123a Cst.
- Art. 123b Cst.
- Art. 130 Cst.
- Art. 136 Cst.
- Art. 166 Cst.
- Art. 178 Cst.
- Art. 191 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 97 CO
- Art. 98 CO
- Art. 99 CO
- Art. 100 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 60 LDP
- Art. 60a LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 64 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 73 LDP
- Art. 73a LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 4 LPD
- Art. 5 let. d LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 3-5 LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 52 LPD
- Art. 54 LPD
- Art. 55 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 16 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 18 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 27 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 28 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
-
- Art. 2 al. 1 LBA
- Art. 2a al. 1-2 and 4-5 LBA
- Art. 3 LBA
- Art. 7 LBA
- Art. 7a LBA
- Art. 8 LBA
- Art. 8a LBA
- Art. 11 LBA
- Art. 14 LBA
- Art. 15 LBA
- Art. 20 LBA
- Art. 23 LBA
- Art. 24 LBA
- Art. 24a LBA
- Art. 25 LBA
- Art. 26 LBA
- Art. 26a LBA
- Art. 27 LBA
- Art. 28 LBA
- Art. 29 LBA
- Art. 29a LBA
- Art. 29b LBA
- Art. 30 LBA
- Art. 31 LBA
- Art. 31a LBA
- Art. 32 LBA
- Art. 38 LBA
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
ORDONNANCE SUR LES DISPOSITIFS MÉDICAUX
LOI SUR LE BLANCHIMENT D’ARGENT
LOI SUR LA TRANSPARENCE
LOI FÉDÉRALE SUR LE TRANSFERT INTERNATIONAL DES BIENS CULTURELS
- I. Introduction
- II. Champ d'application et objectifs
- III. Mise en œuvre en Suisse
- Bibliographie
- Matériaux
I. Introduction
1 Le fait que des cybercriminels professionnels et compétents utilisent de plus en plus les technologies les plus récentes et Internet à des fins illégales pose des défis croissants aux autorités. Toutefois, les possibilités techniques d'abus ne garantissent pas une sécurité permanente et absolue aux criminels tant que les autorités agissent de manière ciblée. En effet, des traces sont laissées sur les supports de données et sur Internet : chaque action effectuée en ligne, par exemple la consultation d'un site web, la publication sur les réseaux sociaux ou les achats en ligne, génère des données qui sont stockées et peuvent être retracées. La création d'images à partir de supports de données saisis permet de restaurer des données supprimées et non écrasées. Ces données, même si elles ne sont stockées que brièvement et temporairement, peuvent être utiles aux autorités de poursuite pénale pour identifier les auteurs, élucider des infractions ou mettre en place des mesures de surveillance, à condition qu'elles soient sauvegardées à temps.
2 Le fait que des données informatiques aient été enregistrées et soient encore disponibles au moment de l'enquête dépend, d'une part, du comportement du détenteur des données en matière de suppression et, d'autre part, des dispositions relatives à la protection des données en vigueur dans l'État contractant concerné.
II. Champ d'application et objectifs
3 En raison de leur caractère éphémère, les données informatiques sont faciles à manipuler, à modifier et à supprimer. Le risque de perte ou de destruction des données est donc élevé dans la pratique. Afin de ne pas faire dépendre la sauvegarde de ces données informatiques et des données de connexion dans les procédures pénales nationales de longues procédures d'obtention de preuves, mais d'empêcher rapidement et efficacement la suppression et la modification des données pertinentes pour la preuve au moyen d'une mesure de sauvegarde et d'accroître ainsi l'efficacité de la poursuite des infractions décrites plus en détail dans la Convention sur la cybercriminalité, les États parties se sont engagés à prendre les mesures législatives nécessaires à l'échelle nationale. La procédure visant à sécuriser immédiatement et en temps utile les données informatiques stockées est appelée dans la pratique «procédure de gel rapide». Il ne faut pas confondre la procédure de gel rapide avec la sécurisation immédiate des données dans un contexte transfrontalier, appelée «demande de conservation», qui est régie par l'art. 29 CCC.
4 L'art. 16 CCC régit la saisie immédiate des données, mais n'autorise pas en soi les États contractants à ordonner la remise des données ou à en consulter le contenu, tant qu'aucune norme nationale ne le permet expressément. La remise des données est régie par l'art. 18 CCC, tandis que la perquisition et la saisie sont traitées à l'art. 19 CCC.
A. Alinéa 1 : Sauvegarde immédiate des données informatiques
5 L'art. 16, al. 1, CCC garantit la sauvegarde rapide des données informatiques au sein d'un État contractant afin de contrer le risque de dissimulation lié au caractère volatile des données informatiques. Les données doivent être protégées « contre tout ce qui pourrait altérer ou détériorer leur qualité ou leur état » et donc contre toute modification, détérioration ou suppression. La sauvegarde désigne la conservation provisoire des données et non le refus d'accès aux données. Les utilisateurs légitimes doivent pouvoir continuer à utiliser les données ou leurs copies tant qu'elles ne doivent pas être saisies en vertu de l'art. 19 CCC.
6 L'art. 16 CCC n'oblige pas les États contractants à restreindre l'offre ou l'utilisation de services, ni à introduire de nouvelles possibilités techniques pour la conservation et la collecte de données. Cette disposition n'entraîne donc pas d'obligation de conservation des données. Elle vise uniquement à garantir que les États contractants puissent, au niveau national, ordonner une saisie accélérée des données informatiques stockées afin de se prêter mutuellement assistance au niveau international.
7 La mise en œuvre concrète des mesures de sauvegarde est laissée à l'appréciation des parties contractantes. Dans la pratique, deux options sont envisageables : la sauvegarde des données originales et la création de copies identiques des données.
8 Selon le libellé de l'art. 16, al. 1, CCC, la sauvegarde concerne «certaines données informatiques, y compris les données relatives au trafic, qui ont été stockées au moyen d'un système informatique». Sont concernées toutes les données informatiques déjà collectées et enregistrées par les détenteurs de données ou les fournisseurs de services, appelées «stored computer data». Les données de connexion et de trafic, appelées «traffic data», sont également mentionnées explicitement. La référence aux données de trafic sert à établir un lien entre les mesures prévues aux art. 16 et 17 CCC. Cette dernière disposition prévoit certaines particularités pour les données de trafic. Ne sont pas concernées les collectes prospectives en temps réel de données informatiques ni la conservation de données, dite « data retention ». Celles-ci sont régies par les art. 20 et 21 CCC.
9 La conservation peut être ordonnée ou réalisée de manière similaire.
a) Le terme «ordonner» désigne tant la décision judiciaire ou administrative visant à garantir la conservation des données que l'obligation pour le destinataire de la décision de coopérer activement. Ce dernier doit le faire en conservant les données sans les modifier et sans les détruire (cf. art. 16, al. 2, CCC).
b) La formulation «ou de manière similaire» permet aux États contractants d'organiser la conservation des données de manière flexible et avec leurs propres moyens, conformément à leur droit procédural.
10 Les États contractants devraient notamment prévoir des mesures de sauvegarde lorsqu'il y a lieu de supposer que les données informatiques sont particulièrement susceptibles d'être perdues ou modifiées. Cela peut être le cas, par exemple, lorsque les données sont soumises à un délai de conservation court en vertu de la politique commerciale, sont effacées à intervalles réguliers ou sont stockées de manière non sécurisée.
B. Alinéa 2 : Saisie de données par voie de conservation
11 L'art. 16, al. 2, CCC prévoit que lorsque des données informatiques sont saisies en vertu de l'art. 16, al. 1, CCC, les Etats contractants peuvent prendre des mesures et introduire des «Preservation Orders» afin de garantir l'intégrité de ces données informatiques pendant une durée limitée. Les États contractants ne sont toutefois pas tenus de prendre de telles mesures. Les États contractants doivent veiller à ce que leurs autorités chargées de l'enquête puissent, quelle que soit la procédure choisie, ordonner ou faire ordonner la sauvegarde immédiate/sans délai.
12 Sont considérées comme destinataires de l'ordonnance les personnes qui sont en possession de données informatiques enregistrées ou qui ont le pouvoir de disposer de ces données.
13 Les États contractants peuvent, dans leur droit interne, en tant que mesure au sens de l'art. 16, al. 2, CCC, obliger les destinataires de l'ordonnance à préserver, aussi longtemps que nécessaire, mais pendant 90 jours au maximum, l'intégrité des données informatiques qui font l'objet de l'ordonnance. Ils peuvent toutefois prévoir une prolongation de ce délai de conservation. La fixation d'un délai sert à donner aux autorités compétentes suffisamment de temps pour obtenir les autorisations nécessaires et engager des démarches juridiques telles que la perquisition, la saisie, la mise sous séquestre ou l'émission d'une ordonnance de remise, afin qu'elles puissent ensuite, dans un deuxième temps, prendre connaissance du contenu des données, notamment dans le cadre d'une entraide judiciaire au sens de l'art. 29 CCC.
C. Alinéa 3 : obligation de garder le secret
14 L'art. 16, al. 3, CCC exige des États parties qu'ils prennent les mesures législatives nécessaires pour que, lorsqu'une décision est adressée au dépositaire ou à un tiers, ceux-ci soient tenus, pendant une durée fixée par le droit interne, de procéder à la conservation des données de manière confidentielle. Cette mesure tient compte, d'une part, de la nécessité pour les autorités de poursuite pénale que les suspects et les tiers ne puissent pas avoir connaissance de l'enquête et, d'autre part, de la protection de la sphère privée des personnes concernées, en particulier celles qui sont mentionnées dans les données ou qui peuvent être identifiées.
D. Alinéa 4
15 Par les renvois à l'art. 16, al. 4, CCC, les Etats contractants s'engagent à garantir que les pouvoirs et procédures mentionnés à l'art. 16 CCC sont soumis aux conditions et garanties prévues aux art. 14 et 15 CCC.
III. Mise en œuvre en Suisse
16 La sauvegarde des données informatiques enregistrées conformément à l'art. 16 CCC constitue un instrument d'enquête important pour lutter contre les infractions informatiques et liées aux technologies de l'information. Les États parties, y compris la Suisse, sont tenus de créer les conditions-cadres législatives et organisationnelles nécessaires à cet effet.
17 La Suisse n'a pas intégré la « procédure de gel rapide » prévue à l'art. 16 CCC en tant que mesure autonome dans le code de procédure pénale suisse en vigueur. Au lieu de cela, le droit suisse satisfait déjà aux exigences de l'art. 16 CCC de manière générale, dans la mesure où les fournisseurs de services de télécommunication sont tenus, d'une part, en vertu des art. 21 al. 2 et 22 al. 2 LSCPT, de veiller à ce que les données d'identification soient collectées lors de l'établissement de la relation client et restent accessibles pendant toute la durée de la relation client et jusqu'à six mois après sa fin, et, d'autre part, conformément à l'art. 26, al. 5, LSCPT, de conserver les données de trafic pendant six mois.
18 Même considérée séparément, la législation suisse en vigueur satisfait aux exigences de l'article 16 de la Convention. Selon le code de procédure pénale suisse, les données informatiques peuvent être saisies soit sur ordre écrit du ministère public dans le cadre d'une perquisition au sens des articles 246 ss CPP, soit être versées au dossier en vertu d'une décision de production au sens de l'article 265 CPP. En Suisse, la conservation des données informatiques enregistrées peut être divisée en deux catégories : la conservation par les autorités de poursuite pénale et la demande de conservation adressée à des personnes. Ces deux mesures peuvent également être prises par la police, sans décision du ministère public, en cas de danger imminent, ce qui garantit une conservation accélérée et proportionnée des données informatiques enregistrées.
A. Saisie par les autorités de poursuite pénale
19 En Suisse, la saisie provisoire de données est ordonnée par le ministère public (ou, le cas échéant, par le tribunal compétent) en vertu des art. 198, 241, al. 1, et 246 CPP afin de permettre la recherche d'enregistrements. Cette mesure garantit que les données peuvent être examinées quant à leur contenu ou leur nature afin de déterminer leur valeur probante et, le cas échéant, de les saisir. Dans la pratique, ces perquisitions et la sauvegarde des données sont ordonnées par la police conformément à l'art. 312 CPP. La police procède alors à une perquisition conformément aux instructions du ministère public (ou du tribunal compétent) et saisit le support de données ou établit une copie légale des données présentes sur les supports de données trouvés et à perquisitionner (ce que l'on appelle le « miroir des données »). La copie garantit que les données sont copiées sur un support externe et protégées contre toute manipulation. Dans les procédures pénales économiques notamment, cela permet de garantir que les données au sens de l'art. 16, al. 1, CC peuvent être conservées sans délai. D'autre part, les personnes concernées par la perquisition peuvent continuer à utiliser leurs appareils pour poursuivre leurs activités commerciales, dans le respect du principe de proportionnalité, tant que les appareils ne doivent pas être saisis en vue de leur confiscation conformément à l'art. 263 CPP en relation avec l'art. 69, al. 1, CP.
20 Afin de garantir la sécurité des données stockées sur des serveurs numériques ou dans le cloud, il est impératif de procéder immédiatement à une copie miroir des données sur place afin d'empêcher que celles-ci ne soient modifiées ou effacées par d'autres moyens d'accès. La base légale pour la réalisation de copies de tels enregistrements et données dans le cadre d'une perquisition est l'art. 247, al. 3, CPP.
B. Demande de sauvegarde à des personnes
21 En ce qui concerne la perquisition et la saisie de données, le ministère public (le cas échéant également le tribunal compétent) a en outre la possibilité, au sens des art. 263 et 265 CPP, d'ordonner par décision la remise et la saisie de données à savoir d'obliger concrètement le détenteur, sous peine des sanctions prévues à l'art. 292 CP et en fixant un délai, à remettre les supports électroniques et les données, sous forme d'originaux ou de copies, à titre de moyens de preuve. Cette procédure est désignée par les termes « édition » et « éditer ». Une telle remise ne peut toutefois être ordonnée que si le détenteur n'est ni la personne prévenue, ni une personne bénéficiant du droit de refuser de témoigner ou de faire des déclarations, ni une entreprise qui pourrait engager sa responsabilité pénale ou civile en cas de remise (art. 265, al. 2, CPP). Une autre condition préalable à la délivrance d'une ordonnance de production est que l'ordonnance soit adressée au détenteur effectif des données domicilié en Suisse, faute de quoi la voie de l'entraide judiciaire internationale en matière pénale doit être suivie.
22 Si une personne est tenue, en vertu de l'art. 2 LSCPT, de transmettre les métadonnées dont elle dispose sur une personne surveillée, les art. 269 ss CPP. Dans la mesure où les conditions prévues à l'art. 269 al. 1 let. b et c CPP sont remplies et où le tribunal des mesures de contrainte a donné son autorisation, une saisie au sens de l'art. 263 CPP n'entre certes pas en ligne de compte, mais les fournisseurs de services de télécommunication domiciliés en Suisse, en tant que détenteurs des données accessoires, peuvent être contraints de procéder à une sauvegarde des données conformément à l'art. 273 CPP. L'obtention de données de situation n'est pas une mesure de contrainte et ne nécessite pas l'autorisation du tribunal des mesures de contrainte.
C. Absence de disposition légale concernant l'ordre de conservation
23 En Suisse, seuls les fournisseurs de services de télécommunication sont légalement tenus, en vertu de l'art. 2 LSCPT, de conserver les données d'identification et les données accessoires pendant six mois. En relation avec ces données conservées, diverses autorités fédérales et cantonales ont le droit, en vertu de l'art. 15 LSCPT, d'obtenir des renseignements sur les services de télécommunication au sens de l'art. 21 LSCPT ainsi que sur l'identité des auteurs d'infractions au sens de l'art. 22 LSCPT. Une telle communication de renseignements équivaut à une obligation de remise au sens de l'art. 265 CPP. Il ne s'agit pas ici d'une «preservation order» au sens de l'art. 16, al. 2, CCC.
24 En ratifiant la Convention sur la cybercriminalité, la Suisse ne s'est pas engagée à introduire les «preservation orders» dans son droit interne. Actuellement, le code de procédure pénale suisse ne prévoit pas non plus de base légale permettant d'ordonner aux détenteurs de données et aux fournisseurs de services de protéger les données contre la perte ou la modification et de les tenir à la disposition des autorités de poursuite pénale sans devoir les remettre immédiatement. Le message part du principe que la possibilité d'obliger quiconque à conserver des données par voie de décision administrative irait trop loin et serait difficilement compatible avec le principe de proportionnalité. Cette appréciation n'est plus d'actualité : en raison de la numérisation croissante, même les particuliers disposent aujourd'hui de capacités de stockage considérables sur leurs supports de données. De nombreuses entreprises dignes de confiance et disposées à coopérer disposent volontairement et conformément aux dispositions suisses en matière de protection des données (LPD) de données pertinentes à des fins de preuve, telles que des données clients et des données techniques (non soumises à la LSCPT), sans être tenues de respecter un délai de conservation. Une injonction faite aux détenteurs de telles données de prolonger le délai de conservation à 90 jours au maximum constitue une mesure nettement moins contraignante que d'ordonner la perquisition des enregistrements auprès des détenteurs de données concernés (cf. ci-dessus N. 19 s.) ou de les obliger à remettre immédiatement l'intégralité des données (cf. ci-dessus N. 21 s.). En cas de prolongation du délai de conservation, les destinataires de la décision ne sont pas soumis à une charge disproportionnée compte tenu des possibilités techniques actuelles, et il existe un intérêt public à garantir que les données collectées volontairement par des particuliers puissent être conservées comme moyens de preuve aux fins de la recherche de la vérité avant d'être effacées.
25 En vertu de l'actuelle procédure pénale suisse, la conservation des données détenues par des personnes qui ne sont pas soumises à la LSCPT peut également être garantie par une décision échelonnée, conformément au principe juridique argumentum a maiore ad minus : Une décision au sens des art. 263 ss CPP peut être rendue, obligeant dans un premier temps le détenteur des données, sous peine de l'amende pour désobéissance prévue à l'art. 292 CP, à fournir des renseignements, à conserver les données et à en garantir la confidentialité, afin que les données pertinentes pour l'enquête puissent être versées au dossier dans un deuxième temps. Une telle obligation progressive n'est pas contraire au principe du numerus clausus en matière de mesures de contrainte (art. 197 al. 1 let. a CPP), car la première obligation de conserver les données a déjà pour but d'exiger ultérieurement les données pertinentes pour la preuve conformément à l'art. 263 CPP. Une telle obligation progressive porte moins atteinte aux droits du détenteur des données qu'une ordonnance de perquisition au sens des art. 246 ss CPP ou une injonction de produire au sens de l'art. 265 CPP. Le délai de conservation maximal de 90 jours prévu à l'art. 16, al. 2, CCC doit être respecté afin que la mesure ne dépasse pas le texte de la convention.
D. Saisie bloquée par le Tribunal fédéral malgré une demande de mise sous scellés valable
26 Ces dernières années, le Tribunal fédéral a dû se prononcer à plusieurs reprises sur le cas de figure suivant : après la saisie d'appareils électroniques, une copie de sauvegarde (copie miroir) des données qui s'y trouvaient a été effectuée par les autorités d'instruction ou par un service spécialisé mandaté, malgré la mise sous scellés. Le Tribunal fédéral estime qu'il est inadmissible qu'après une demande de scellés, une autorité d'instruction ordonne la copie des données ou la transmette à une personne ou à une autorité mandatée et liée par ses instructions. Au contraire, après avoir scellé les supports de données, l'autorité chargée de l'enquête doit présenter une demande de miroir au tribunal des mesures de contrainte, même si un miroir est absolument nécessaire pour protéger les données contre toute perte. La demande peut être présentée en même temps que la demande de descellage ou, en cas d'urgence, à titre superprovisoire. Après la mise sous scellés, seule la juridiction des mesures de contrainte est compétente pour ordonner une copie.
27 Cette jurisprudence a été critiquée à juste titre. Elle s'avère également contraire au droit international au regard de la Convention sur la cybercriminalité. Le Tribunal fédéral ignore ainsi que la Suisse s'est engagée à garantir la sauvegarde immédiate des données informatiques pertinentes pour la preuve dans les procédures nationales afin d'éviter toute perte de preuves. Par sa jurisprudence, le Tribunal fédéral introduit non seulement une procédure superprovisoire jusqu'alors inconnue devant le tribunal des mesures de contrainte, mais aussi une procédure dans laquelle, même en cas d'ordonnance rendue par un juge des mesures de contrainte, la collecte de données pertinentes pour la preuve peut être considérablement compromise en l'espace de quelques heures : Tant que l'autorité d'instruction ne peut pas faire ou faire faire une copie des données lors d'une perquisition sur place et doit s'adresser au tribunal des mesures de contrainte et attendre sa décision, il existe dans la pratique actuelle un risque considérable que des personnes autorisées à accéder aux données stockées sur des serveurs numériques ou dans le cloud les modifient ou les suppriment avant que le tribunal des mesures de contrainte ne se prononce sur la décision de mise en miroir . De nouvelles évolutions offrent également une protection accrue contre les accès des autorités, à condition de réagir immédiatement. Récemment, l'une des plus grandes entreprises technologiques a introduit sur ses appareils (mobiles) une fonction de sécurité qui bloque le port USB 60 minutes après le dernier déverrouillage de l'appareil, avec pour conséquence que les données ne peuvent plus être lues à partir de ce moment-là et qu'aucun logiciel permettant une lecture ultérieure ne peut être installé sur l'appareil. Il faut s'attendre à ce que d'autres entreprises suivent cet exemple. Par conséquent, certaines situations à risque – tant nouvelles que celles prises en compte dans le rapport explicatif – ne peuvent être évitées que par l'intervention immédiate de l'autorité d'enquête, respectivement de la police ou de la personne mandatée par celle-ci lors de la perquisition sur place. La procédure définie par le Tribunal fédéral, qui consiste à déposer une demande de miroir superprovisoire auprès du tribunal des mesures de contrainte après la mise sous scellés, augmente considérablement le risque de perte de preuves. On ne peut donc pas parler ici d'une poursuite pénale plus efficace, comme le vise la Convention sur la cybercriminalité.
Bibliographie
Burgermeister Daniel, Beweiserhebung in der Cloud, Master of Advanced Studies in Forensics (MAS Forensics), August 2015.
Graf Damian K., Praxishandbuch zur Siegelung, StPO inklusive revidierter Bestimmungen – VStrR – IRSG – MStP, Bern 2022.
Graf Damian K./Günal Rütsche Serdar, Datensicherung von Mobiltelefonen und Tablets – technische und (siegelungs-)rechtliche Herausforderungen im Strafverfahren, SJZ 121 (2025), S. 604 ff.
Hansjakob Thomas, Überwachungsrecht der Schweiz, Kommentar zu Art. 269 ff. StPO und zum BÜPF, Zürich 2018.
Matériaux
Bundesamt für Justiz, Vernehmlassungsentwurf, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, Bern, März 2009, abrufbar unter https://www.bj.admin.ch/bj/de/home/sicherheit/gesetzgebung/archiv/cybercrime-europarat.html, besucht am 4.5.2025.
Botschaft über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität vom 18.6.2010, BBl 2010 4697 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2010/813/de, besucht am 4.5.2025.
Botschaft zur Änderung des Schweizerischen Strafgesetzbuches (Allgemeine Bestimmungen, Einführung und Anwendung des Gesetzes) und des Militärstrafgesetzes sowie zu einem Bundesgesetz über das Jugendstrafrecht vom 21.9.1998, BBl 1999 II 1979 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1999/1_1979_1787_1669/de, besucht am 4.5.2025.
Europarat, Explanatory Report to the Convention on Cybercrime, Budapest, 23.11.2001, abrufbar unter https://rm.coe.int/16800cce5b, besucht am 4.5.2025 (zit. Explanatory Report).
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), abrufbar unter https://eur-lex.europa.eu/legal-content/de/TXT/?uri=CELEX%3A32016R0679, besucht am 4.5.2025.