I. Généralités

1 Dans la section 2 (« Droit procédural ») du chapitre 2 (« Mesures à prendre au niveau national »), l'art. 18 CCC traite, sous le titre 3 (« Ordonnance de remise »), de la communication de données par les autorités pénales compétentes. Il distingue deux cas de figure : d'une part, la remise de données informatiques par une personne qui se trouve sur le territoire de l'État contractant concerné (al. 1, let. a) et, d'autre part, la communication de données de répertoire par des fournisseurs de services qui offrent leurs services dans l'État contractant (al. 1, let. b). Étant donné que ces derniers n'ont pas leur siège dans l'État contractant concerné et que les données de stock ne doivent pas nécessairement y être stockées, l'art. 18 CCC contient un élément extraterritorial (cf. n. 9 s.).

2 La décision de rendre des données constitue la mesure la moins contraignante par rapport aux mesures de contrainte qui portent plus profondément atteinte aux droits des personnes concernées (souvent non inculpées). Conformément au principe de proportionnalité, la possibilité d'une décision de production doit toujours être examinée avant de recourir à des mesures de contrainte plus étendues (telles qu'une perquisition domiciliaire) (cf. également art. 265, al. 4, CPP). Un aspect essentiel de cette mise en balance des intérêts est le risque de collusion et de perte de moyens de preuve si les données ne sont pas immédiatement saisies par les membres des autorités de poursuite pénale.

3 Sur le fond, l'art. 18 CCC se limite à la remise de données concrètement déterminées ou déterminables, déjà existantes ou enregistrées dans le cadre d'une procédure pénale. Il ne doit pas nécessairement s'agir d'une cyberinfraction au sens des art. 2 à 11 CCC ou d'une autre infraction commise à l'aide d'un système informatique ; il suffit que les moyens de preuve disponibles sous forme électronique permettent d'établir l'existence d'une infraction quelconque (art. 14, al. 2, CCC). Cela signifie également que les éléments de preuve demandés doivent au moins être potentiellement pertinents, c'est-à-dire qu'ils peuvent être importants pour l'enquête pénale ou ne doivent pas apparaître manifestement inutilisables, ce qui découle déjà du principe général de proportionnalité (condition préalable à une mesure étatique « appropriée »).

4 En vertu du libellé de la convention (« chaque Partie prend les mesures législatives et autres nécessaires pour habiliter ses autorités compétentes » ; cf. également art. 14, al. 1, CCC), l'art. 18 CCC n'est pas une norme d'application directe qui entre en vigueur dès la ratification de la convention. Il fonde plutôt une obligation de droit international de promulguer des dispositions internes correspondantes. Contrairement à l'art. 32 CCC, l'art. 18 CCC ne peut donc pas être invoqué directement comme base pour une mesure de procédure pénale.

5 Toutefois, le Conseil fédéral a déclaré dans son message que le droit suisse satisfait déjà aux exigences de l'art. 18 CCC. Dans cette mesure, tant le libellé de l'art. 18 CCC que les documents y relatifs – en particulier le rapport explicatif sur la CCC et la note d'orientation n° 10 du Comité de la Convention sur la cybercriminalité (« T-CY ») du Conseil de l'Europe – peuvent servir d'aides à l'interprétation pour l'application des dispositions nationales, en premier lieu l'art. 265 CPP. En Suisse, il est en outre de principe que les normes doivent être interprétées, dans la mesure du possible, conformément aux conventions.

6 L'art. 18 CCC ne précise pas comment les mesures doivent être mises en œuvre dans le droit interne, mais se contente de définir le contenu minimal des normes nationales en matière de compétence et laisse à chaque État partie le soin d'intégrer les exigences de la convention dans son système de mesures d'obtention des preuves. L'art. 18, al. 2, CCC renvoie toutefois aux autres garanties minimales prévues aux art. 14 et 15 CCC, qui doivent également être respectées dans ce contexte.

7 L'art. 18 CCC ne précise pas non plus si et, dans l'affirmative, dans quelle mesure les données doivent être conservées, ni ne fixe de délais de conservation. Il ne contient notamment aucune obligation pour les fournisseurs d'accès de conserver des enregistrements sur leurs abonnés, d'en garantir l'exactitude, de vérifier l'identité des utilisateurs ou d'empêcher l'utilisation de pseudonymes. De telles obligations peuvent éventuellement découler de réglementations nationales au niveau de la loi ou de l'ordonnance.

II. Ordonnance de remise de données informatiques (al. 1 let. a)

8 En l'espèce, la demande de remise peut porter sur des « données informatiques » qui sont définies à l'art. 1, let. b, CCC comme « toute représentation de faits, d'informations ou de concepts sous une forme appropriée pour le traitement dans un système informatique, y compris un programme susceptible de déclencher l'exécution d'une fonction par un système informatique ». Cette notion englobe tous les types de données, en particulier les données d'inventaire, de connexion et de contenu (cf. n. 24 ss). L'art. 18 CCC exige uniquement que les données concernées puissent être exigées, sans toutefois se prononcer sur la compétence ou la procédure interne spécifique. Pour cette raison, il est par exemple tout à fait compatible avec les art. 18 et 15 CCC que la remise de données de connexion soit soumise, en droit suisse, à des exigences plus strictes que la remise de données d'inventaire ou de contenu et qu'elle nécessite en outre l'autorisation du tribunal des mesures de contrainte (cf. n. 27 s.).

9 Sur le plan personnel, l'art. 18, al. 1, let. a, CCC s'applique, selon son libellé explicite, à toutes les personnes morales et physiques qui, au moment de la décision, ont leur siège, leur domicile ou même seulement leur résidence temporaire dans l'État contractant. Contrairement à l'art. 32 CCC, non pas par le lieu de stockage des données, mais à la personne en possession ou sous le contrôle de laquelle se trouvent les données à collecter. L'art. 18 al. 1 let. a CCC s'applique également aux fournisseurs d'accès domiciliés en Suisse ; ceux-ci peuvent être contraints de mettre à disposition non seulement des données de base (cf. art. 18 al. 1 let. b CCC), mais aussi des données relatives au contenu et à la connexion.

10 Le lieu de stockage des données est, en d'autres termes, sans importance dans ce contexte. Par conséquent, même les données stockées à l'étranger peuvent être éditées chez une personne domiciliée en Suisse, pour autant que ces données « se trouvent en sa possession ou sous son contrôle » (« computer data in that person's possession or control »). L'art. 18, al. 1, let. a CCC autorise donc, tout comme l'art. 32 CCC, une forme de prise de preuve extraterritoriale. Cela est conforme à la jurisprudence du Tribunal fédéral relative à l'art. 18 CCC et à l'art. 265 CPP, selon laquelle ces dispositions permettent la mise à disposition de toutes les données auxquelles le destinataire de la décision a accès ou est autorisé à accéder (« avoir un pouvoir de disposition, en fait et en droit, sur ces données »).

11 La notion de « possession ou contrôle » renvoie, d'une part, à la possession physique des données concernées sur le territoire de l'État contractant qui a rendu la décision (souveraineté sur les données) et, d'autre part, à des situations dans lesquelles les données recherchées ne se trouvent pas dans la sphère de garde du destinataire de la décision, mais où celui-ci peut librement contrôler leur remise (droit de disposition). Cela inclut, par exemple, une personne qui a stocké des données chez un fournisseur tiers, par exemple dans un cloud – dans ce cas, le fournisseur tiers est en possession des données et l'utilisateur en a le contrôle, et les deux peuvent être tenus individuellement responsables en tant que destinataires de la disposition. La possession et le contrôle peuvent donc être dissociés. Selon le rapport explicatif, il ne suffit toutefois pas de disposer de la capacité technique d'accéder à des données stockées à distance ; les données doivent plutôt être sous le contrôle légitime (« legitimate control ») du destinataire de la disposition. Le « contrôle » présuppose donc à la fois la possibilité d'accéder à ces données et le droit de le faire. Ce point doit être clarifié dans le détail. Le destinataire de la disposition doit contribuer à l'administration de la preuve s'il fait valoir l'absence de contrôle ou d'accès aux informations demandées.

12 Dans les structures de groupe, on ne peut pas partir du principe qu'une filiale a accès aux données de la société mère ou des sociétés sœurs. À l'inverse, en raison de leur position, les sociétés mères d'un groupe sont souvent susceptibles de disposer ou de contrôler les données au sein du groupe, que ce soit de fait ou de droit. Si, pour des raisons réglementaires ou de protection des données, les données restent chez les sociétés nationales et que la société mère n'y a manifestement pas accès, les données ne peuvent être exigées que de la société nationale. Si des solutions de stockage ou d'archivage internes ou externes à l'entreprise ou des centres de données sont utilisés, le droit de contrôle reste acquis à la personne qui externalise, tandis que l'entreprise qui conserve les données en est « propriétaire », car elles se trouvent dans sa sphère de contrôle. Par conséquent, les filiales ou sociétés partenaires de fournisseurs étrangers qui stockent des données en Suisse (par exemple dans des fermes de serveurs) sont également soumises à une obligation de remise, même si elles sont domiciliées en Suisse.

13 Ce qui est déterminant, c'est la possibilité d'accès effective ou juridique au moment de la décision. Une limitation de l'accès après réception d'une demande serait non seulement abusive, mais pourrait également constituer une infraction pénale selon la situation juridique dans les États contractants (cf. art. 305 CP [faveur]).

14 Comme on l'a vu (n. 9 s.), l'art. 18, al. 1, let. a, CCC ne se réfère pas directement au lieu de stockage des données. Une décision de remise rendue en Suisse peut toutefois viser des données stockées en Suisse, que les personnes ayant droit aux données se trouvent à l'étranger ou non (par exemple lorsqu'une personne domiciliée à l'étranger stocke des données en Suisse ou exploite un centre de données). Si seules les données se trouvent en Suisse, mais pas les personnes ayant droit aux données, la seule question qui se pose est de savoir comment la demande de remise peut être transmise à la personne domiciliée à l'étranger – une question qui se pose également sous let. b (cf. n. 20 s.).

III. Ordonnance de remise de données de connexion auprès des fournisseurs d'accès (al. 1 let. b)

15 L'art. 18, al. 1, let. b, CCC se réfère à la remise de données de base par des fournisseurs de services ou « service provider » au sens de l'art. 1, let. c, CCC, qui offrent leurs services sur le territoire de l'État contractant. Cet article est donc à la fois plus restrictif et plus large que la let. a, dans la mesure où il se limite aux fournisseurs de services et à la remise de données relatives à l'abonnement («subscriber information») – par exemple l'identité du client ou des informations sur les transactions financières (cf. n. 24 ss) –, mais où il vise non seulement les fournisseurs suisses, mais aussi les fournisseurs étrangers (cf. à ce sujet n. 17 s.). Le lien interne nécessaire avec la Suisse est ici compris, à l'instar de la conception du droit des cartels, au sens du principe d'effet, raison pour laquelle les fournisseurs de services étrangers sont également concernés s'ils sont actifs sur le marché suisse. La condition préalable reste ici aussi que les données soient en possession ou sous le contrôle du destinataire de la décision (cf. à ce sujet n. 11 ss).

16 Contrairement à l'art. 32 CCC, qui repose sur le volontariat et suppose, pour une remise des données conforme au droit par les fournisseurs, une autorisation dans les conditions générales du contrat ou dans un document similaire, une demande de remise est contraignante et doit être exécutée par les fournisseurs de services destinataires, pour autant qu'elle soit conforme aux exigences nationales de l'État contractant dans lequel les services sont offerts et qui a rendu la décision. L'accès facilité et plus efficace aux données d'inventaire semble approprié, étant donné que 80 à 90 % des données requises au niveau international sont des données d'inventaire ; l'art. 18, al. 1, let. b CCC contribue ainsi à alléger le système d'entraide judiciaire internationale.

17 La question de savoir quand un service est « offert » dans un État contractant a déjà fait l'objet d'une jurisprudence dans d'autres contextes en Europe : il est nécessaire que les activités du fournisseur de services soient dirigées vers les utilisateurs de l'État, c'est-à-dire que le fournisseur de services ait l'intention que les utilisateurs de cet État utilisent ses services. La simple accessibilité d'un site web ou la possibilité de s'y connecter depuis un autre pays ne suffit pas à cet égard. L'utilisation d'autres langues ou devises que celles habituelles dans l'État du siège, l'utilisation de domaines de premier niveau ou d'un indicatif téléphonique d'un État peuvent constituer des indices de l'« offre » d'un service. Ainsi, la plus haute juridiction belge a estimé que Yahoo! Inc. pouvait être contrainte, sous peine de sanctions, de divulguer des données relatives à ses clients, car Yahoo! Inc. participait activement à la vie économique belge en tant que fournisseur d'un service de messagerie électronique gratuit. Cela ressortait notamment de l'utilisation du domaine « www.yahoo.be », de l'utilisation de la langue nationale, de la diffusion de publicités basées sur la localisation des utilisateurs et de la mise en place d'un formulaire de réclamation et d'une rubrique FAQ pour les utilisateurs belges. Enfin, le nouvel art. 3, point 4, du règlement (UE) 2023/1543 relatif aux ordonnances européennes de production de preuves et aux ordonnances européennes de gel de preuves électroniques en matière pénale et à l'exécution des peines privatives de liberté après une procédure pénale du 12 juillet 2023 (« règlement e-Evidence ») exige que le critère de « fourniture de services dans l'UE » cumulativement (a) la création d'une possibilité pour les personnes physiques ou morales dans un État membre de recourir aux services et (b) un lien substantiel avec cet État membre, qui est considéré comme existant, par exemple, lorsque le prestataire de services dispose d'un établissement ou d'un nombre important d'utilisateurs dans cet État membre ou dans plusieurs États membres ou que son activité est orientée vers ceux-ci. De tels critères peuvent également être utilisés pour l'art. 18 CCC.

18 Si des fournisseurs étrangers proposent un service sur le marché d'un État contractant, ils sont tenus de communiquer les données relatives aux utilisateurs de ce service dans l'État contractant concerné. C'est le cas, par exemple, lorsqu'une personne s'inscrit via l'adresse « .ch » du fournisseur de services, indique la Suisse comme lieu de résidence ou de siège ou utilise une adresse IP suisse au moment de l'inscription ou à une date ultérieure.

19 Au sein des organes du Conseil de l'Europe également, l'opinion prévaut que les données de base stockées sur un système informatique à l'étranger peuvent être exigées d'un fournisseur national (pour autant qu'elles soient sous son contrôle, cf. également n. 11 ss) et que des injonctions peuvent être adressées directement à un fournisseur étranger. Ces deux points sont également conformes à la lettre de l'art. 18 CCC.

20 Le Tribunal fédéral s'est déjà penché sur ces deux questions et a rendu un arrêt nuancé : Dans un arrêt du 16 novembre 2016, il a estimé que l'art. 18 CCC et l'art. 265 CPP autorisent la production de toutes les données auxquelles le destinataire de la décision a effectivement et légalement accès (« avoir un pouvoir de disposition, en fait et en droit, sur ces données »), y compris celles qui sont stockées à l'étranger. Dans un arrêt du 14 janvier 2015, elle a en revanche déclaré que l'art. 18 CCC ne permettait pas de s'adresser directement à un fournisseur étranger au moyen d'une décision de production, même si celui-ci offre ses services en Suisse – l'art. 32 CCC régit donc de manière exhaustive l'accès transfrontalier direct, et l'art. 25 al. 4 phrase 1 CCC stipule que l'entraide judiciaire internationale doit suivre les instruments habituels, sauf si une disposition contraire est « expressément » prévue dans la CCC. Le Tribunal fédéral a toutefois constaté que les filiales ou sociétés partenaires de fournisseurs étrangers qui stockent des données en Suisse (telles que des fermes de serveurs) sont soumises au droit suisse. Il n'a toutefois pas examiné le libellé de l'art. 18 CCC, ni le rapport explicatif ou le message, selon lesquels le législateur partait précisément du principe que le droit national répondait aux exigences de l'art. 18 CCC. Il n'appartient pas au Tribunal fédéral de passer outre la volonté claire du législateur. En outre, il n'y a pas de violation de la souveraineté lorsque des services sont fournis en Suisse, car dans ce cas, il existe précisément un lien interne suffisant avec la Suisse. Une limitation aux prestataires de services établis en Suisse rendrait en outre l'art. 18, al. 1, let. b, CCC obsolète, car les fournisseurs d'accès ayant leur siège en Suisse sont déjà visés par l'art. 18, al. 1, let. a, CCC (cf. n. 9) et doivent donc non seulement remettre les données relatives à l'existence, mais aussi celles relatives au contenu et à la connexion. À bien y regarder, l'art. 18, al. 1, let. b, CCC peut donc également servir de base à la pratique courante en Suisse, qui repose principalement sur l'art. 32 CCC et selon laquelle les autorités de poursuite pénale adressent des demandes directes aux fournisseurs étrangers («demandes d'informations»). Cela vaut également dans le sens inverse : les fournisseurs suisses qui offrent leurs services sur des marchés étrangers peuvent être directement invités à divulguer des données par les autorités étrangères et, comme ils sont en principe soumis à une obligation de divulgation, ils ne sont pas punissables en vertu de l'art. 271 CP (« Acte interdit en vue d'un État étranger ») en cas de transmission des données.

21 En ce qui concerne la notification des décisions de remise, les grands fournisseurs mettent à disposition des « portails d'application de la loi » sur lesquels les autorités pénales suisses peuvent également s'enregistrer et saisir directement leurs demandes. Pour les petits fournisseurs de services, les demandes de remise peuvent être transmises par voie policière (via Interpol) ou, si cela est accepté, directement (par exemple par courrier électronique). L'art. 18, al. 1, let. b, CCC permet de renoncer à la voie formelle de l'entraide judiciaire et autorise les États contractants à transmettre directement les ordonnances de remise aux fournisseurs d'autres États contractants. Cela est admissible et approprié, car l'exigence d'une notification de la décision de production de documents par la voie de l'entraide judiciaire réduirait à néant les facilités que l'art. 18, al. 1, let. b, CCC vise précisément à permettre. Seule la notification directe garantit que les autorités de poursuite pénale puissent accéder efficacement et rapidement aux données nécessaires sans devoir recourir à la procédure d'entraide judiciaire, souvent longue et bureaucratique. Il est toutefois un fait que l'absence de coopération ne peut être imposée directement, mais uniquement par la voie formelle de l'entraide judiciaire au moyen de mesures coercitives allant au-delà de l'art. 18 CCC.

22 La demande de remise étant une mesure d'obtention de preuves interne, ce n'est pas le droit de l'État contractant dans lequel le fournisseur est établi qui est déterminant, mais celui de l'État contractant dans lequel il offre ses services.

IV. Renvoi aux art. 14 et 15 CCC (al. 2)

23 Les États peuvent, dans le cadre de l'art. 15 CCC, fixer des conditions et des garanties et exclure des données du champ d'application de l'art. 18 CCC. Il est ainsi justifié de limiter la remise de données de connexion à certaines infractions et d'exiger à cet effet l'autorisation du juge des mesures de contrainte (art. 273 CPP). Il est en outre admissible de lier les ordres de remise à des interdictions de communication, comme cela a été mis en œuvre dans le droit suisse (art. 73, al. 2, CPP).

V. Définition des données de trafic (al. 3)

24 Sont considérées comme données de trafic toutes les informations – qui ne sont pas qualifiées de données de connexion ou de contenu – enregistrées par un fournisseur de services en relation avec un utilisateur ou un abonné de ses services. L'objectif central de la consultation des données de trafic est de déterminer l'identité de l'abonné ou de l'utilisateur et d'identifier les services utilisés par l'utilisateur. En outre, des informations commerciales telles que les données de facturation et de paiement peuvent également être pertinentes, notamment dans le cadre de la cyberfraude et d'autres infractions contre le patrimoine.

25 Selon l'art. 18, al. 3, CCC, les données de base comprennent toutes les informations relatives (a) à la nature du service de communication utilisé, aux mesures techniques prises à cet effet et à la durée du service ; (b) à l'identité de l'abonné, son adresse postale ou physique, ses numéros de téléphone et autres numéros d'accès, ainsi que les informations relatives à la facturation et au paiement disponibles sur la base du contrat ou de l'accord relatif au service ; ainsi que (c) d'autres informations sur l'emplacement de l'équipement de communication disponibles sur la base du contrat ou de l'accord relatif au service. En Suisse, les informations qui peuvent être communiquées en vertu de l'art. 22, al. 1, LSCPT sont précisées aux art. 36 à 38 de l'ordonnance du 15 novembre 2017 sur la surveillance de la correspondance postale et des télécommunications (OSCPT, RS 780.11). Sont notamment considérées comme données de base les éléments d'adressage tels que l'attribution d'un nom, d'un numéro de téléphone et d'une adresse à une adresse IP connue, ainsi que les contrats originaux et les copies des pièces d'identité présentées lors de la conclusion du contrat et les informations techniques relatives aux télécommunications.

26 Il convient de distinguer les données de base des données de contenu, qui comprennent le contenu de la communication ou les fichiers enregistrés, ainsi que des données de connexion ou données relatives au trafic, qui sont générées en relation avec une communication et qui permettent de déterminer l'origine, la destination, l'itinéraire, l'heure, la date, l'étendue ou la durée de la communication (art. 1, let. d, CCC). Le Tribunal fédéral distingue les données de base et les données accessoires en se basant sur le critère de délimitation suivant : si les autorités de poursuite pénale connaissent déjà une connexion Internet ou une adresse électronique qu'il suffit d'attribuer à une personne concrète, il s'agit d'une consultation de données de base. Si, en revanche, les autorités de poursuite pénale ont uniquement connaissance d'activités de communication internet punissables et que les adresses IP attribuées et les clients enregistrés doivent d'abord être déterminés à partir des données marginales de connexion de la communication concernée, il s'agit alors d'une collecte rétroactive (soumise à autorisation) de données marginales au sens de l'art. 273 CPP. Selon la jurisprudence, cela s'applique également de manière générale à la demande de remise d'un historique IP. Il convient donc de distinguer s'il s'agit de savoir qui a communiqué avec qui et quand (données de connexion au sens de l'art. 273 CPP) ou plutôt qui a utilisé un service déterminé à un moment connu (données de position au sens de l'art. 22, al. 1, LSCPT). Les adresses IP d'enregistrement d'un compte déjà connu doivent donc être considérées sans ambiguïté comme des données de position et non comme des données de communication, car elles servent exclusivement à identifier un participant et n'ont aucun lien avec la communication ultérieure via le compte. Les autres « données d'accès » (par exemple l'historique des adresses IP des connexions à un service non destiné à la communication, comme la connexion à un portefeuille crypté ou à un cloud) ne peuvent pas non plus être considérées à juste titre comme des données de connexion. Ces données ne concernent ni directement ni indirectement la communication entre les personnes et sa surveillance. Dans de tels cas, les adresses IP sont plutôt comparables à des traces laissées sur le lieu d'un crime, à l'instar d'une empreinte digitale ou d'ADN, et ne constituent pas des données secondaires dans le contexte de la communication humaine, mais plutôt des données de base. La décision du Tribunal fédéral relative à la qualification des historiques IP en tant que données de trafic au sens de l'art. 273 CPP n'est pas suffisamment nuancée à cet égard.

VI. Conditions préalables à la licéité de la collecte de données en vertu du droit suisse de procédure pénale

27 Pour les données de base au sens de l'art. 18, al. 3, CCC – c'est-à-dire en particulier les informations (même rétroactives) sur l'identité de la personne qui est ou était enregistrée comme titulaire ou destinataire de la facture auprès du fournisseur de services soumis au droit suisse (cf. n. 24 ss) –, une simple consultation peut être effectuée conformément à l'art. 22 al. 1 LSCPT auprès du service de surveillance de la correspondance postale et des télécommunications (service SCPT). Ces informations peuvent également être obtenues par voie d'édition (art. 265 CPP), en particulier lorsque le fournisseur étranger qui offre ses services au sens de l'art. 18 al. 1 let. b CCC en Suisse n'est pas soumis à la LSCPT. La demande d'informations par l'intermédiaire du service SCPT constitue uniquement une règle de procédure ; ni le CPP, ni la LSCPT, ni l'ordonnance y relative ne prévoient que les informations qui ne sont pas communiquées par l'intermédiaire du service SCPT ne peuvent être utilisées. Une consultation de données d'inventaire présuppose qu'il existe un soupçon d'infraction (crime, délit ou contravention) commise via Internet (art. 22 al. 1 LSCPT), que les informations demandées sont susceptibles d'être pertinentes pour l'enquête ou d'avoir une valeur probante et que la proportionnalité est respectée. Aucun recours ordinaire n'est admissible contre une consultation de données d'inventaire ; notamment, la mise sous scellés (art. 248 CPP) n'est pas applicable, car il n'est pas possible de déterminer à l'avance dans quelle mesure les données d'inventaire demandées pourraient être soumises à une interdiction de saisie au sens de l'art. 264 CPP. Les fournisseurs sont soumis à une obligation de renseigner ; s'ils refusent, une amende d'ordre ou une amende au sens de l'art. 292 CP peut leur être infligée (pour autant qu'ils en aient été informés au préalable), ou des mesures de contrainte peuvent être prises (par analogie avec l'art. 265, al. 3 et 4, CPP). Pour les fournisseurs étrangers qui offrent leurs services en Suisse, la menace d'une sanction pénale au sens de l'art. 292 CP devrait également être admissible, mais les mesures de contrainte visant à obtenir les données relatives à l'existence d'une communication devraient être demandées à l'État concerné dans le cadre de l'entraide judiciaire.

28 Pour les données relatives au contenu et à la connexion, qui peuvent toutes deux être exigées en vertu de l'art. 18, al. 1, let. a, CPP, il convient ensuite de distinguer : les données relatives au contenu qui peuvent être pertinentes à des fins de preuve doivent être éditées en vertu de l'art. 265 CPP, pour autant qu'elles soient stockées (« in storage ») au moment de la décision et qu'elles ne se trouvent pas encore en cours de transmission (« in traffic »). Sont pertinentes en pratique, par exemple, les données relatives au contenu des opérateurs de messagerie électronique, comme le compte de messagerie électronique d'une adresse « @bluewin.ch » chez Swisscom. La remise des données relatives au contenu est subordonnée à l'existence d'un soupçon suffisant d'une infraction pénale, à la pertinence potentielle des enregistrements remis pour la procédure pénale et au respect du principe de proportionnalité. La décision de production peut être assortie d'une interdiction de communication conformément à l'art. 73, al. 2, CPP, ce qui a pour effet que le fournisseur de services n'est pas autorisé à informer le titulaire du compte jusqu'à nouvel ordre. Les titulaires et autres personnes habilitées peuvent former un recours contre une décision de production en demandant la mise sous scellés (art. 248 CPP), pour autant qu'ils puissent faire valoir leur propre intérêt au secret. Le fournisseur dispose certes formellement du droit de demander la mise sous scellés, mais il ne peut pas le faire à la place de ses clients et il ne pourra guère invoquer ses propres interdictions de saisie au sens de l'art. 264 CPP. Pour les données de connexion ou marginales (cf. n. 26), le ministère public ne doit pas ordonner la production, mais rendre une décision en vertu de l'art. 273 CPP, qui est soumise à des exigences plus strictes : (1) il doit exister un soupçon grave d'un crime ou d'un délit ; (2) la gravité de l'infraction doit justifier la surveillance ; (3) les mesures d'enquête prises jusqu'alors doivent être restées infructueuses ou les investigations seraient sinon vouées à l'échec ou rendues excessivement difficiles (art. 273 al. 1 en relation avec l'art. 269 al. 1 CPP). La décision doit en outre être approuvée par le tribunal des mesures de contrainte (art. 274 CPP), faute de quoi les preuves recueillies sont absolument inutilisables (art. 277, al. 2, CPP). L'autorisation du tribunal des mesures de contrainte peut être contestée par la personne surveillée, le cas échéant également par le fournisseur d'accès, par voie de recours au sens des art. 393 ss CPP (art. 279, al. 3, CPP).

Bibliographie

Betschmann Simon, Randdatenerhebung im Fernmeldeverkehr gemäss Art. 273 StPO, AJP 2019, S. 358 ff.

Donatsch Andreas/Lieber Viktor/Summers Sarah/Wohlers Wolfgang (Hrsg.), Schulthess Kommentar zur Schweizerischen Strafprozessordnung, 3. Aufl., Zürich 2020 (zit. SK-Bearbeiter/in, Art. … StPO N. …).

Graf Damian K., Corona- und Crypto-Leaks – die Strafverfolgung bewegt sich nicht im rechtsfreien Raum, Gastkommentar, NZZ vom 17.2.2023, abrufbar unter https://www.nzz.ch/meinung/was-darf-die-staatsanwaltschaft-die-corona-und-crypto-leaks-ld.1725348, besucht am 31.3.2025 (zit. Crypto-Leaks).

Graf Damian K., Kommentierung zu Art. 32 CCC, in: Graf Damian K. (Hrsg.), Onlinekommentar, Übereinkommen über die Cyberkriminalität (Cybercrime Convention), abrufbar unter https://onlinekommentar.ch/de/kommentare/ccc32, besucht am 31.3.2025 (zit. OK).

Forster Marc, Marksteine der Bundesgerichtspraxis zur strafprozessualen Überwachung des digitalen Fernmeldeverkehrs, in: Festgabe Schweizerischer Juristentag 2015, Zürich 2015, S. 615 ff.

Hansjakob Thomas, Die Erhebung von Daten des Internetverkehrs – Bemerkungen zu BGer 6B_656/2015 vom 16.12.2016, forumpoenale 4 (2017), 252 ff. (zit. Erhebung).

Hansjakob Thomas, Überwachungsrecht der Schweiz, Kommentar zu Art. 269 ff. StPO und zum BÜPF, Zürich/Basel/Genf 2017 (zit. Überwachungsrecht).

Niggli Marcel Alexander/Heer Marianne/Wiprächtiger Hans (Hrsg.), Basler Kommentar zur Strafprozessordnung/Jugendstrafprozessordnung, 3. Aufl., Basel 2023 (zit. BSK-Bearbeiter/in, Art. … StPO N. …).

Roth Simon, Die grenzüberschreitende Edition von IP-Adressen und Bestandesdaten im Strafprozess, Direkter Zugriff oder Rechtshilfe?, Jusletter vom 17.8.2015.

Schweingruber Sandra, Cybercrime-Strafverfolgung im Konflikt mit dem Territorialitätsprinzip, Jusletter vom 10. November 2014.

Seger Alexander, «Grenzüberschreitender» Zugriff auf Daten im Rahmen der Budapest Konvention über Computerkriminalität, Praxisbericht zum Stand der Arbeiten des Europarats, Zeitschrift für öffentliches Recht 73 (2018), S. 71 ff.

Walder Stephan, Grenzüberschreitende Datenerhebung: Ist und Soll, Kriminalistik 8-9/2019, S. 540 ff.

Matériaux

Botschaft über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität vom 18.6.2010, BBl 2010 4697 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2010/813/de, besucht am 31.3.2025.

Botschaft zum Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) vom 27.2.2013, BBl 2013 2683 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2013/512/de, besucht am 31.3.2025.

Europarat, Cybercrime Convention Committee (T-CY), The Budapest Convention on Cybercrime: benefits and impact in practice, Strassburg, 13.7.2020, abrufbar unter https://rm.coe.int/t-cy-2020-16-bc-benefits-rep-provisional/16809ef6ac, besucht am 31.3.2025 (zit. T-CY, Benefits).

Europarat, Cybercrime Convention Committee (T-CY), T-CY Guidance Note # 10, Production orders for subscriber information (Article 18 Budapest Convention), Strassburg, 28.2.2017, abrufbar unter https://rm.coe.int/16806f943e, besucht am 31.3.2025 (zit. T-CY Guidance Note # 10).

Europarat, Cybercrime Convention Committee (T-CY), T-CY Cloud Evidence Group, Criminal justice access to electronic evidence in the cloud: Recommendations for consideration by the T-CY, Final report, Strassburg, 16.9.2016, abrufbar unter https://rm.coe.int/16806a495e, besucht am 31.3.2025 (zit. T-CY, Cloud).

Europarat, Explanatory Report to the Convention on Cybercrime, Budapest, 23.11.2001, abrufbar unter https://rm.coe.int/16800cce5b, besucht am 31.3.2025 (zit. Explanatory Report).