-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- I. Introduction
- II. Condition de la double incrimination (art. 29 al. 3 et 4 CCC), exclusion des poursuites politiques (art. 29 al. 5 let. a CCC) et violation de l'ordre public (art. 29 al. 5 let. b CCC)
- III. Sécurisation et collecte de données à l'étranger
- IV. Exécution des demandes de préservation par les autorités suisses
- Bibliographie
- Matériaux
I. Introduction
A. Poursuite pénale multinationale fondée sur la division du travail en matière de cybercriminalité
1 Les criminels utilisent Internet pour commettre des infractions, principalement pour deux raisons. D'une part, pour rester anonyme. D'autre part, pour adapter leur modèle commercial criminel à moindre coût, c'est-à-dire pour atteindre un grand nombre de victimes potentielles (en particulier la cyber-escroquerie). A cela s'ajoutent les délits informatiques au sens strict du terme, qui ne sont pas concevables dans le monde analogique (p. ex. piratage, attaques DDOS, etc.).
2 Conformément à la nature d'Internet en tant que réseau de communication mondial, la cybercriminalité a toujours lieu au niveau international. Les groupes criminels organisés agissent généralement à l'échelle mondiale, ou du moins - dans une perspective suisse - à l'échelle européenne, voire, dans certains cas, à l'échelle d'une région linguistique (p. ex. l'espace germanophone). Il en résulte qu'aucun État ne peut lutter seul contre la cybercriminalité. Les cyberenquêtes doivent presque toujours être menées au niveau international ou présentent des aspects transfrontaliers. Dans le cas d'enquêtes importantes et coûteuses, on parle de poursuite pénale internationale avec division du travail. Le contraste avec la poursuite pénale (suisse) ne pourrait pas être plus clair. En raison de la compétence primaire des cantons en matière de poursuite pénale, de très nombreuses ressources sont encore perdues dans notre pays pour clarifier la compétence nationale. Une image nationale de la situation concernant les phénomènes de cybercriminalité n'existe, au mieux, qu'à l'état d'ébauche.
3 Celui qui enquête dans le domaine cybernétique ne peut généralement pas passer à côté de l'art. 29 CCC (Preservation Request / saisie immédiate de données) en dehors du domaine des infractions mineures.
B. Importance pratique et articles apparentés
4 L'art. 29 CCC compte, avec l'art. 32 let. b CCC, parmi les dispositions les plus pertinentes de la Convention sur la cybercriminalité dans la pratique, du moins du point de vue des autorités de poursuite pénale.
5 La Preservation Request doit résoudre le problème suivant : les données électroniques sont volatiles et souvent stockées à l'étranger, mais les procédures d'entraide judiciaire sont régulièrement très longues. Du point de vue de la poursuite pénale, la situation est encore aggravée par le fait que de nombreux pays ne connaissent pas la "conservation des données préalables", ce qui peut conduire à la perte de données pertinentes pour l'enquête avant même qu'une demande d'entraide judiciaire ne puisse être déposée. Les demandes de préservation doivent donc permettre de saisir provisoirement, de manière simple et rapide, des données pertinentes pour la poursuite pénale à l'étranger, afin que l'Etat requérant ait le temps d'obtenir les données par la voie de l'entraide judiciaire.
6 Contrairement à l'Information Request selon l'art. 32 let. b CCC, qui peut être formulée à bas seuil et sans inconvénients ni frais pour l'Etat requérant, l'Etat requérant qui se réfère à l'art. 29 CCC s'engage à demander ultérieurement les données saisies à l'étranger également par le biais d'une demande d'entraide judiciaire. Une demande d'entraide judiciaire est liée à une certaine charge de travail pour le ministère public requérant, de sorte que ce dernier ne formulera pas de demandes de préservation à la légère.
7 La question de la nature juridique d'une Preservation Request se pose régulièrement. C'est par exemple le cas lorsque, après le dépôt d'une plainte pénale, il n'est pas encore clair s'il existe des soupçons initiaux suffisants pour ouvrir une procédure pénale (art. 309 al. 1 let. a CPP). Ce n'est que dans ce cas que les mesures de contrainte du ministère public sont possibles et justifiées. Si la demande de préservation n'était pas une mesure de contrainte, il serait possible que la police en fasse une de son propre chef, ce qui serait à saluer du point de vue de l'intention, car une sauvegarde des données devrait être d'autant plus efficace qu'elle est effectuée rapidement. La Convention sur la cybercriminalité elle-même ne répond pas à la question de la nature juridique, qui est régie par le droit de l'État sollicité (art. 25 al. 4 CCC). La réponse peut donc être différente. Pour la Suisse, on considère que la police ne peut en principe pas faire de demande de préservation sans l'accord du ministère public, car ce dernier s'engage alors à déposer ultérieurement une demande d'entraide judiciaire internationale (ce qui n'est possible que si une procédure pénale est ouverte). De même, la demande de sauvegarde immédiate des données entraîne une saisie temporaire des enregistrements, ce qui constituerait une mesure de contrainte dans le contexte national. Dans les faits, une demande de préservation doit donc être traitée de la même manière qu'une mesure de contrainte dans le cadre d'une procédure pénale. En conséquence, une demande de préservation doit en principe être ordonnée par le ministère public, l'exécution pouvant être déléguée à la police. Dans les affaires nationales, une saisie temporaire par la police est exceptionnellement autorisée lorsqu'il y a "péril en la demeure" et que le ministère public ne peut pas être informé à temps (même oralement) (art. 263 al. 3 CPP). Dans de tels cas exceptionnels, la police peut également formuler des demandes de manière autonome conformément à l'article 29 CCC.
8 Il convient également de mentionner l'article 16 de la CCC, qui exige des Etats membres qu'ils créent les conditions législatives et organisationnelles nécessaires pour que les demandes de préservation des Etats étrangers puissent être satisfaites conformément à l'article 29 de la CCC. Dans le cadre de la mise en œuvre de la Convention, la Suisse a décidé de ne pas adopter de nouveau droit de procédure pénale à cet égard (cf. ci-après, n. 32).
II. Condition de la double incrimination (art. 29 al. 3 et 4 CCC), exclusion des poursuites politiques (art. 29 al. 5 let. a CCC) et violation de l'ordre public (art. 29 al. 5 let. b CCC)
9 La Convention sur la cybercriminalité s'efforce de promouvoir au mieux la coopération internationale en matière de poursuite pénale des délits informatiques. C'est pourquoi la convention elle-même ne contient pas d'exigence de double incrimination, mais laisse les Etats parties libres de fournir une assistance même si seul l'Etat requérant incrimine une infraction correspondante (art. 29 al. 3 CCC). Les États parties sont libres d'émettre une réserve lors de la ratification, selon laquelle la double incrimination est une condition préalable. Dans ce cas, l'Etat requis peut refuser une demande de préservation s'il est déjà établi à ce moment-là que les données demandées à des fins de préservation ne pourront pas être communiquées par le biais de l'entraide judiciaire (art. 29 al. 4 CCC). Sur les 70 États qui ont ratifié la convention, 23 ont émis une réserve correspondante, dont la Suisse et les États-Unis d'Amérique. Comme les Etats-Unis ou leurs Etats fédéraux ne connaissent pas d'infraction pénale analogue à nos délits d'atteinte à l'honneur, l'entraide judiciaire est toujours exclue à cet égard et, par conséquent, aucune Preservation Request n'est acceptée.
10 Indépendamment de la question de la double incrimination, la Convention sur la cybercriminalité exclut la Preservation Request pour les poursuites pénales à motivation politique (persécution) (art. 29 al. 5 let. a CCC), ce qui devrait aller de soi du point de vue suisse. Il en va de même lorsque la partie requise estime que l'exécution de la demande est de nature à porter atteinte à sa souveraineté, à sa sécurité, à l'ordre public ou à d'autres intérêts essentiels (art. 29 al. 5 let. b CCC).
III. Sécurisation et collecte de données à l'étranger
11 Du point de vue suisse, l'art. 29 CCC est surtout pertinent pour la collecte de données informatiques à l'étranger (cf. n. 12 ss. ci-après). Mais cet article s'applique également aux demandes adressées à la Suisse par des États étrangers (voir ci-après, n. 31 ss).
A. Faire une demande de préservation
12 Le texte de la Convention lui-même donne des instructions assez détaillées sur la manière de formuler une demande de préservation. Les exigences suivantes sont expressément mentionnées :
1. L'autorité requérante (let. a.)
13 Dans la pratique, il s'agira régulièrement d'un ministère public (cf. aussi ci-dessus, n. 7). Du point de vue de la convention, rien ne s'oppose toutefois à ce que - en étroite concertation avec la direction de la procédure du ministère public (qui doit ensuite présenter la demande d'entraide judiciaire) - la police puisse déjà présenter une Preservation Request. Comme il s'agit de saisir à temps des données volatiles, cela peut même être judicieux. La mise en œuvre de la demande de préservation, c'est-à-dire sa qualification juridique, est régie par le droit national de l'Etat requis (art. 25 al. 4 CCC). Dans de nombreux Etats requis, la mise en œuvre de la demande de préservation (saisie de données sur le lieu de stockage) sera qualifiée de mesure de contrainte, de sorte qu'il n'est pas rare qu'une demande - ou du moins une (co)signature - d'un procureur soit exigée. Dans l'ensemble, le traitement est très hétérogène.
2. L'infraction qui fait l'objet de l'enquête ou de la procédure pénale et un bref exposé des faits (let. b.)
14 Il s'agit ici de permettre à l'Etat requis de savoir si la double incrimination est réalisée (cf. supra, n. 9) et si la demande, qui peut tout à fait impliquer des efforts considérables, est proportionnée (rapport fin/moyens). Pour les phénomènes courants, une description de deux ou trois phrases suffit néanmoins à satisfaire à cette exigence.
3. Les données informatiques stockées qui doivent être sauvegardées et le lien entre celles-ci et l'infraction (let. c.)
15 Il convient de préciser quelles données doivent être concrètement sauvegardées (p. ex. données d'enregistrement, fichiers journaux/données marginales ou même données de contenu, en indiquant si possible et judicieusement les formats de fichiers). Mais il faut surtout justifier pourquoi ces données ont effectivement un lien avec les faits qui fondent le soupçon. Ce critère ressemble à ce que l'on appelle la pertinence potentielle des preuves dans le contexte d'une perquisition nationale selon l'art. 246 CPP (selon lequel "il y a lieu de présumer" que les enregistrements concernés contiennent des informations qui peuvent être saisies) ; ici, les données doivent seulement, mais tout de même, "pouvoir avoir de l'importance" ou ne pas paraître "manifestement inappropriées". Les recherches de preuves (fishing expeditions) sont mal vues. Ce critère est pris très au sérieux et une justification minutieuse est indiquée. Il ne faut pas oublier que dans d'autres pays, la compétence de saisir et/ou de remettre des données n'appartient pas au ministère public, mais doit être ordonnée par un tribunal des mesures de contrainte. Ainsi, dans les relations pratiques avec les Etats-Unis, le Department of Justice doit s'adresser à un tribunal pour faire ordonner la remise des données à un fournisseur de services par le biais d'un mandat de perquisition. Cela requiert une présentation substantielle et (selon les circonstances) étayée par les documents essentiels (en anglais) du lien avec le délit. La densité de la motivation va ici bien au-delà de ce à quoi les ministères publics suisses sont habitués dans le cadre du droit de procédure pénale national. Les autorités américaines consultent tout de même l'autorité requérante, conformément à la pratique, si le degré de matérialité de la demande n'est pas encore suffisant, et donnent la possibilité de motiver plus précisément la Preservation Request.
4. Toutes les informations disponibles pour déterminer le dépositaire des données informatiques stockées ou l'emplacement du système informatique (let. d.)
16 En règle générale, on désigne ici simplement l'entreprise à laquelle la ressource d'adressage concrète est attribuée. Par exemple Google pour les adresses électroniques @gmail, Meta (pour Facebook, Instagram et WhatsApp), etc.
5. La nécessité de la sauvegarde (let. e.) et l'intention de la partie contractante de présenter une demande d'entraide judiciaire (let. f.).
17 La demande doit explicitement déclarer que la demande est nécessaire (au sens de la subsidiarité et de la proportionnalité) et confirmer que l'autorité requérante a l'intention de donner suite à la demande de préservation au moyen d'une commission rogatoire.
B. Transmission et traitement de la demande de préservation
18 Indépendamment du libellé de la Convention sur la cybercriminalité, il existe dans la pratique deux voies par lesquelles une demande de préservation peut ou doit être formulée. La voie typique est le réseau 24/7, conformément au texte de la convention (art. 35 CCC). Chaque Etat signataire s'est engagé à gérer un point de contact prêt à recevoir les demandes de préservation 24 heures sur 24 et 7 jours sur 7. En Suisse, ce rôle est assumé par l'Office fédéral de la justice en collaboration avec l'Office fédéral de la police (fedpol).
19 Pour des raisons d'efficacité (éviter les ruptures de médias, automatisation), de nombreux grands fournisseurs de services de communication basés sur Internet ont toutefois décidé d'exploiter leurs propres systèmes de demandes d'application de la loi (Law Enforcement Request Systems, LERS), par le biais desquels les autorités de poursuite pénale peuvent saisir directement leurs demandes de manière standardisée et en suivre l'évolution, sans devoir faire appel à d'autres autorités étatiques (p. ex. Office fédéral de la justice / Département de la justice). Il est judicieux, et c'est ce qui a été mis en œuvre dans certains cantons, qu'un service central au sein de la police ou du ministère public gère les accès à tous les portails LERS disponibles, établisse et administre les Preservation et Information Requests sur mandat des directions de procédure. Cela permet de centraliser et d'évaluer les expériences faites avec les différents fournisseurs de services et de mettre à la disposition des directions des procédures des interlocuteurs compétents pour discuter à l'avance des chances de succès des demandes correspondantes.
20 Les autorités de poursuite pénale ont également la possibilité d'envoyer leurs demandes par courriel (crypté et authentifié) à l'Office fédéral de la police (fedpol). Les demandes y sont examinées, complétées si nécessaire par des demandes de précisions, traduites et transmises à l'autorité compétente à l'étranger. De manière générale, l'anglais est la langue recommandée pour les Preservation Requests dans le monde entier. Il est également possible de demander au service de coordination de fedpol si d'autres autorités de poursuite pénale suisses ont déjà envoyé la même Preservation Request, ce qui peut fournir des informations précieuses en vue de la coordination des enquêtes en cours (ou la possibilité d'adresser une demande d'élection de for à l'autre canton).
C. Délimitation avec l'Information Request
21 En quoi la Preservation Request se distingue-t-elle de l'Information Request selon l'art. 32 let. b CCC ? A ce sujet, nous renvoyons tout d'abord au commentaire de l'article 32 CCC. En bref, la demande d'information concerne la remise volontaire de données à un État partenaire de la CCC directement par le fournisseur de services. Dans la pratique, le "caractère volontaire" concerne le fournisseur de services et seulement indirectement l'utilisateur/le client du service. Les utilisateurs prévoient régulièrement dans leurs conditions d'utilisation qu'une transmission de données aux autorités de poursuite pénale est possible ; dans le cas concret, les clients concernés ne sont plus consultés. Le caractère volontaire du côté des utilisateurs est relatif dans la mesure où, sans le consentement aux conditions d'utilisation (et donc à la transmission de données aux services répressifs), de nombreux services ne peuvent tout simplement pas être utilisés.
22 Bien que la Convention sur la cybercriminalité ne connaisse pas cette restriction, une demande d'information ne peut, selon le droit national des Etats partenaires concernés, comprendre en règle générale que des données d'enregistrement (également appelées "données de base" ou "subscriber information") conformément à l'art. 18 al. 3 let. b CCC (p. ex. nom, date de naissance, adresse, nom d'utilisateur, adresse de facturation, adresses e-mail, adresse IP lors de l'enregistrement) et des données périphériques ("traffic data", p. ex. l'historique IP), mais en règle générale pas de données de contenu ("content data"). Le terme "données de contenu" désigne le contenu d'une communication, c'est-à-dire par exemple un message, un post, des fichiers média, etc. Les données d'enregistrement sont de loin les plus fréquentes. Souvent, les demandes d'information et de préservation sont faites en même temps, car il n'est pas certain quelles données les fournisseurs de services mettent volontairement à disposition.
23 Dans la pratique, les demandes d'information sont formulées de manière beaucoup plus simple, car elles n'obligent pas le ministère public à présenter une demande d'entraide judiciaire. Une telle demande n'est d'ailleurs pas nécessaire, puisque la remise des données est volontaire et que le fournisseur de services y répond directement. La volonté de coopération des fournisseurs de services dépend fortement du type d'infraction. Les services sont particulièrement disposés à coopérer en cas de délits sexuels, en particulier au détriment d'enfants. Les délits contre le patrimoine sont plus problématiques. En bas de l'échelle se trouvent les délits contre l'honneur, pour lesquels la coopération échoue régulièrement, ne serait-ce qu'en raison de l'exigence de la double incrimination (cf. ci-dessus, n. 9 et n. 14).
D. Procédure au moyen d'une demande d'entraide judiciaire
24 Comme nous l'avons déjà mentionné à plusieurs reprises et comme le texte de la convention l'indique explicitement, le ministère public s'engage, par la Preservation Request, à demander les données saisies par la voie de l'entraide judiciaire. Il existe certainement des cas où il s'avère après coup que des données initialement sauvegardées sont devenues entre-temps obsolètes. Le fait de renoncer à une demande d'entraide judiciaire n'a pas non plus de conséquences directes (il n'y a par exemple pas de frais). On s'attend toutefois généralement à ce que les ministères publics respectent cette obligation de droit conventionnel afin de ne pas mettre en péril la bonne coopération entre les États signataires.
25 La conservation des données s'effectue pendant au moins 60 jours (cf. art. 29 al. 7 CCC). La durée concrète est indiquée dans la confirmation écrite de la Preservation Request et est généralement plus longue. La plupart du temps, l'autorité requérante peut également faire une demande de prolongation de délai. Dans le délai imparti, la demande d'entraide doit être formellement déposée.
E. Meilleures pratiques pour les demandes d'entraide judiciaire adressées aux États-Unis
26 En raison de leur grande importance pratique, les meilleures pratiques pour les demandes d'entraide judiciaire adressées aux États-Unis sont abordées ci-après. Les explications suivantes se fondent sur le "Practical Guide for Requesting Electronic Evidence Across Borders", publié par l'UNODC, le CTED et l'IAP, ainsi que sur notre propre expérience.
27 Les demandes d'entraide judiciaire adressées à des autorités étrangères dans des affaires de cybercriminalité doivent contenir les informations suivantes :
Langue de la demande : les demandes d'entraide judiciaire doivent idéalement être saisies directement en anglais, sinon elles doivent être traduites ;
Faits : ils doivent être présentés brièvement mais dans les grandes lignes, en indiquant le lieu de l'infraction (ou le lieu du résultat), l'heure exacte de l'infraction et la manière dont elle a été commise ;
Eventuel modus operandi : doit être décrit en détail ;
Désignation juridique de l'acte, y compris les articles de loi applicables in extenso ;
Motifs de la demande, en indiquant notamment le lien entre la procédure menée et les mesures demandées ;
Les preuves recherchées ou les actes demandés doivent être décrits avec précision (p. ex. remise des extraits de compte concernant le compte X pour la période A à B, demande de documents auprès du fournisseur d'accès Y, d'où ressortent les données d'enregistrement et les logfiles concernant l'ID distant 12345678 pour la période entre A et B, etc ;)
des explications sur l'éventuelle demande de préservation (Preservation Request) déjà formulée, tous les numéros de référence communiqués à la suite de la demande de préservation devant être mentionnés dans la demande (CCIPS ainsi que numéros de référence de fedpol, de l'autorité de police étrangère requise et du ministère public étranger requis).
28 Pour obtenir les données de contenu des fournisseurs de services américains, le Department of Justice doit obtenir un mandat de perquisition auprès d'un tribunal, conformément au droit américain. L'obstacle du niveau de preuve est la "cause probable". Cela signifie que le tribunal doit être convaincu que le compte d'utilisateur en question contient probablement encore des preuves liées à un délit (à moins que les données n'aient déjà été provisoirement saisies sur la base d'une Preservation Request). Il est en outre nécessaire de disposer d'une base de preuves solide pour supposer qu'une infraction a été ou sera commise et que les preuves de l'infraction se trouveront sur le compte d'utilisateur demandé. Les sources des indices présentés doivent être dignes de confiance (par exemple, rapports de police, sources privées dignes de confiance). Des indices centraux doivent être présentés. Si des indices sont présentés, ils doivent être traduits en anglais. En résumé, il faut expliquer pourquoi le titulaire du compte est une cible de l'enquête, pourquoi on suppose que le compte d'utilisateur en question appartient à cette personne et quels sont les moyens de preuve que l'on espère obtenir de ce compte d'utilisateur.
29 La demande d'entraide judiciaire doit être envoyée soit par la voie diplomatique via l'Office fédéral de la justice, soit - si cela a été convenu et prévu - par voie de transmission directe au ministère public à l'étranger. Le guide de l'entraide judiciaire de l'Office fédéral de la justice contient des informations plus détaillées sur les voies de transmission concrètes.
30 Remarque :
Pour les demandes d'entraide judiciaire dans les cas de cybercriminalité, il convient d'inscrire en plus la CCC comme base juridique (si le pays de destination a ratifié la convention).
La présentation des faits, la subsomption des faits sous les éléments constitutifs de l'infraction ainsi que la mise en évidence des motifs de la demande sont l'alpha et l'oméga d'une demande d'entraide judiciaire internationale.
Des informations détaillées sur l'entraide judiciaire sont disponibles dans le guide de l'entraide judiciaire de l'Office fédéral de la justice, avec des modèles dans différentes langues et un index des pays.
Une demande d'entraide judiciaire faisant suite à une Preservation Request déposée doit être effectuée dès que possible, au plus tard dans le délai de prosecution (art. 29 al. 7 CCC).
IV. Exécution des demandes de préservation par les autorités suisses
A. Déroulement de la procédure et compétences
31 Tous les Etats ayant ratifié la Convention sur la cybercriminalité ont indiqué laquelle de leurs autorités fait office de point de contact central pour les Etats requérants ("24/7 network", art. 35 CCC). Selon la déclaration de la Suisse, il s'agit en premier lieu de l'Office fédéral de la justice. Toutefois, c'est la Police judiciaire fédérale (fedpol) qui est compétente pour les questions relatives à la Convention sur la cybercriminalité, en particulier pour les demandes de préservation (l'Office fédéral de la justice transmet les demandes correspondantes à fedpol). Fedpol reçoit chaque année environ 200 demandes de l'étranger, qu'il transmet à son tour aux corps de police cantonaux pour traitement.
B. Mise en œuvre par le biais du droit suisse
32 Le processus de traitement d'une demande de conservation étrangère en Suisse n'est pas réglé par la loi. Il est remarquable de constater à quel point le message relatif à la mise en œuvre de la Convention sur la cybercriminalité ne s'est pas penché sur les questions procédurales et pratiques. Il est seulement mentionné que les Etats parties ne sont pas tenus de créer d'autres instruments juridiques en plus de la saisie et de l'édition.
33 Le droit de procédure pénale suisse ne connaît pas les "Preservation Orders" au sens de la Convention sur la cybercriminalité. Un Preservation Order serait une décision des autorités à l'égard d'un fournisseur de services de tenir des données à disposition pendant une certaine période (typiquement dans le sens d'un Back Up). Comme cet instrument n'est pas prévu dans le CPP, la disponibilité à long terme des données doit être garantie d'une autre manière, ce qui ne peut se faire raisonnablement qu'au moyen d'une édition (art. 265 CPP). Comme les polices cantonales n'ont pas la compétence d'éditer des données, elles doivent à leur tour transmettre les demandes correspondantes qu'elles reçoivent de fedpol au ministère public compétent, qui rend finalement une ordonnance d'édition. Alors que le code de procédure pénale ne connaît pas de base pour les Preservation Orders, la conservation des données prescrite par la loi a été mise en œuvre de manière comparable dans le domaine des télécommunications. Ainsi, ce sont les fournisseurs de services de télécommunication eux-mêmes qui doivent conserver les données d'enregistrement et les données marginales de communication de leurs clients pour une durée de 6 mois à l'intention des autorités de poursuite pénale (art. 21 al. 2, art. 22 al. 2 et art. 26 al. 5 LSCPT).
34 Cette conception suisse de la Preservation Request selon l'art. 29 CCC est relativement éloignée de l'esprit de la Convention, qui voulait une mesure rapide, simple et impliquant le moins de restrictions possibles pour toutes les parties. Le processus que nous venons d'exposer implique au moins trois autorités et l'entreprise destinataire, donc de nombreuses interfaces, ce qui entraîne des retards et augmente inévitablement le risque d'erreurs. Une décision d'édition, liée à la livraison physique ou numérique et à la conservation de quantités de données - parfois très importantes - représente en outre une charge considérable pour les fournisseurs de services et les autorités responsables de la conservation des données. Au niveau international, la question de savoir si les États qui n'ont pas introduit de Preservation Orders au sens de la Convention et qui se contentent d'ordonnances d'édition (comme la Suisse) remplissent les exigences de la Convention fait l'objet d'un débat. Si la majorité semble répondre par l'affirmative, des critiques subsistent néanmoins, notamment en ce qui concerne les obstacles juridiques plus élevés (pas en Suisse), la durée plus longue de la procédure et le risque éventuellement accru que les personnes concernées apprennent l'existence de la mesure, ce qui peut faire échouer le but de l'enquête.
35 L'exécution de demandes de préservation étrangères en Suisse ne fait pas encore partie d'une procédure d'entraide judiciaire formelle et ne constitue pas non plus une mesure préventive au sens de l'EIMP (ou d'autres bases du droit de l'entraide judiciaire). Elle se situe en amont d'une éventuelle procédure d'entraide judiciaire. Dans les faits, chaque Preservation Request ne devrait de loin pas être suivie d'une demande formelle d'entraide judiciaire. La Preservation Request trouve son fondement dans la Convention sur la cybercriminalité elle-même (qui, dans la mesure où elle est suffisamment concrète, est directement applicable dans le système moniste de la Suisse). L'exécution de la Preservation Request en l'occurrence n'est pas suffisamment précise, raison pour laquelle il faut - comme mentionné plus haut - recourir aux institutions juridiques du droit de procédure pénale national, c'est-à-dire au code de procédure pénale (p. ex. art. 265 CPP, édition) ainsi qu'à la LSCPT et à ses ordonnances (p. ex. art. 38 OSCPT, IR_8_IP (NAT) : titulaires d'adresses IP). Ceci, toujours dans le but de respecter au mieux l'esprit de la Convention sur la cybercriminalité (prévention rapide, simple et efficace de la perte de preuves). Cela signifie également que les ordonnances d'édition émises en exécution d'une Preservation Request doivent être assorties d'une interdiction de communication au destinataire de l'édition, afin de ne pas compromettre le succès de l'enquête (art. 29 al. 6 CCC ; art. 73 al. 2 CPP en relation avec. art. 292 CP ; cf. par analogie également art. 11b al. 2 let. c EIMP et art. 80b al. 2 let. a EIMP). La conséquence en est que les personnes concernées ne peuvent pas encore recourir contre l'édition elle-même au moment de son exécution, faute d'en avoir connaissance. Dès qu'une procédure formelle d'entraide judiciaire est ouverte (si), les détenteurs de données (les clients concernés du service) doivent être informés de leur droit d'apposer des scellés (art. 9 EIMP en relation avec l'art. 248 al. 2 CPP). En revanche, si aucune demande d'entraide judiciaire n'est reçue dans un délai de 60 jours conformément à l'art. 29 al. 7 CCC et à un éventuel avertissement/délai supplémentaire, les données doivent être irrévocablement effacées faute de base légale pour une conservation plus longue.
36 Selon la situation juridique actuelle, le fournisseur de services lui-même a un droit propre d'apposer des scellés lors de l'édition en tant que détenteur des données (cf. art. 248 al. 1 CPP). L'apposition de scellés par le fournisseur de services pourrait toutefois entraîner des dépenses inutiles, à savoir lorsqu'une procédure de levée des scellés coûteuse doit être menée et que l'État requérant renonce ensuite à la procédure d'entraide judiciaire. A cela s'ajoute le fait que l'édition n'affecte souvent pas les propres intérêts secrets du fournisseur de services. Ce serait pourtant une condition préalable à une demande de scellement valable, car il n'est pas possible de demander le scellement à la place d'un tiers (par exemple le titulaire d'un compte). Si des données sont collectées par des fournisseurs de services qui, en raison de la nature de leur service, doivent régulièrement compter avec des données protégées par le secret, la question se pose d'autre part de savoir si le ministère public qui exécute la Preservation Request (qui rend l'ordonnance d'édition) ne devrait pas déjà procéder d'office à l'apposition de scellés au moment de l'édition. Dans les deux cas, le ministère public devrait, pour exécuter la Preservation Request, déposer une demande de levée des scellés dans les 20 jours (art. 248 al. 3 CPP), à un moment où le détenteur des données ne devrait pas encore avoir connaissance de la Preservation Request et ne devrait donc pas être impliqué dans la procédure de levée des scellés (sans compter qu'il n'a généralement pas de domicile de notification en Suisse).
37 Afin de ne pas compromettre le succès de l'enquête et d'éviter des temps morts inutiles, la seule procédure cohérente dans le contexte de la convention sur la cybercriminalité serait que les scellés/décellés ne soient appliqués que dans le cadre de la procédure formelle d'entraide judiciaire. En tout état de cause, le scellement ne peut être possible que lorsque la collecte de données en tant que telle est terminée. On pense par exemple aux collectes de données qui résultent d'une seule demande de préservation, mais qui nécessitent plusieurs étapes successives sur le territoire national, par exemple plusieurs demandes de renseignements adressées au service OCTF (1. détermination de la ressource d'adressage à partir de l'adresse IP, 2. détermination du titulaire du raccordement à partir de la ressource d'adressage).
38 La question se pose de savoir si le droit suisse permettrait d'obliger les fournisseurs de services à simplement conserver certaines données, même en dehors du champ d'application de la LSCPT, au lieu de les fournir. Cela permettrait d'atténuer bon nombre des problèmes d'édition évoqués précédemment et serait donc à encourager. Une véritable augmentation de l'efficacité pourrait toutefois être obtenue si l'exécution des demandes de conservation étrangères était centralisée au niveau de la Confédération (fedpol), ce pour quoi il n'existe actuellement aucune base dans le code de procédure pénale (cf. art. 22 ss CPP e contrario). Une base juridique comparable se trouve en revanche déjà aujourd'hui à l'art. 18 al. 2 EIMP, selon lequel l'Office fédéral de la justice peut lui-même ordonner des mesures de sûreté provisoires s'il y a péril en la demeure.
Bibliographie
Bommer Felix/Goldschmid Peter, Kommentierung zu Art. 265 StPO, in: Niggli Heer/Wiprächtiger (Hrsg.), Schweizerische Strafprozessordnung, Strafprozessrecht I + II, 3. Aufl., Basel 2023.
Graf Damian K., Praxishandbuch zur Siegelung, StPO inkl. revidierter Bestimmungen – VStrR – IRSG – MStP, Bern 2022.
Thormann Oliver/Brechbühl Beat, Kommentierung zu Art. 248 StPO, in: Niggli Heer/Wiprächtiger (Hrsg.), Schweizerische Strafprozessordnung, Strafprozessrecht I + II, 3. Aufl., Basel 2023.
Matériaux
Botschaft über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität vom 18.6.2010, BBl 2010 4697 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2010/813/de, besucht am 24.1.2024.
Council of Europe, The 24/7 Network established under the Convention on Cybercrime (known as the Budapest Convention), What is the 24/7 Network?, abrufbar unter: https://www.coe.int/en/web/cybercrime/24/7-network-new-, zuletzt besucht am 24.1.2024 (zit. CoE 24/7).
Cybercrime Convention Committee (T-CY), Assessment report, Implementation of the preservation provisions of the Budapest Convention on Cybercrime, Supplementary report, 15/16.06.2015, abrufbar unter: https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=090000168044be2b, zuletzt besucht am 24.1.2024 (zit. T-CY, Preservation Assessment).
Europarat, Cybercrime Convention Committee (T-CY), T-CY assessment report: The mutual legal assistance provisions of the Budapest Convention on Cybercrime, Strassburg, 3.12.2014, abrufbar unter: https://rm.coe.int/16802e726c, besucht am 17.10.2023 (zit. T-CY, Assessment Report).
Europarat, Cybercrime Convention Committee (T-CY), T-CY Cloud Evidence Group, Criminal justice access to electronic evidence in the cloud: Recommendations for consideration by the T-CY, Final report, Strassburg, 16.9.2016, abrufbar unter: https://rm.coe.int/16806a495e, besucht am 17.10.2023 (zit. T-CY, Cloud).
Europarat, Cybercrime Convention Committee (T-CY), The Budapest Convention on Cybercrime: benefits and impact in practice, Strassburg, 13.7.2020, abrufbar unter: https://rm.coe.int/t-cy-2020-16-bc-benefits-rep-provisional/16809ef6ac, besucht am 17.10.2023 (zit. T-CY, Benefits).
Opinion of the T-CY on the competent authority for issuing a preservation request under Articles 29 and 35 Budapest Convention, 28.11.2017, abrufbar unter: https://rm.coe.int/t-cy-2017-18-opinion-article29-/168076cf95, zuletzt besucht am: 19.1.2024 (zit. T-CY, Competent Authority).
Reservations and Declarations for Treaty No.185 - Convention on Cybercrime (ETS No. 185), Status as of 09/03/2024, abrufbar unter: https://www.coe.int/en/web/conventions/full-list?module=declarations-by-treaty&numSte=185&codeNature=0, besucht am 9.3.2024 (zit. Reservations and Declarations).
United Nations Office on Drugs an Crime (UNDOC), Sharing Electronic Resources and Laws on Crime (SHERLOC), The Practical Guide for Requesting Electronic Evidence across Borders, für Strafbehörden abrufbar unter: https://sherloc.unodc.org/cld/en/st/evidence/practical-guide.html, besucht am 27.09.2023, zuletzt besucht am 24.01.2024 (zit. Practical Guide for Requesting Evidence).