-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- I. Généralités
- II. Accès à des données accessibles au public ("open source") stockées dans un autre État contractant (let. a)
- III. Accès à d'autres données stockées dans un autre État contractant (let. b)
- IV. Conservation des preuves au-delà de l'article 32 de la CCC selon le principe d'accès
- V. Conséquences de la violation du droit à la souveraineté étrangère
- VI. Nécessité d'une réforme
- Bibliographie
- Matériaux
I. Généralités
A. Introduction, historique, objectif et critique
1 Compte tenu de l'augmentation constante du transfert de la communication vers les services Internet (tels que le courrier électronique, les médias sociaux et la téléphonie par Internet) ainsi que de l'évolution technologique du stockage local vers le "cloud computing", l'objectif d'enquête des autorités de poursuite pénale a également changé. Leur travail devient de plus en plus complexe en raison de ce déplacement des preuves vers le monde numérique. Cette complexité s'explique d'une part par le fait que les données sont de nature volatile, qu'elles peuvent être déplacées sans problème au-delà des frontières (ce qui peut aussi se faire automatiquement, par exemple pour mieux exploiter les systèmes informatiques) et qu'elles peuvent être cryptées. D'autre part, les principaux fournisseurs de services Internet dont on ne peut plus se passer (comme Google, Facebook ou Meta, WhatsApp, X ou Microsoft) opèrent généralement depuis l'étranger (surtout les États-Unis) et proposent leurs services aux personnes physiques et morales en Suisse à partir de là, tandis que les données de leurs utilisateurs sont stockées à l'étranger. Il en résulte que les autorités d'enquête doivent régulièrement porter leur attention au-delà des frontières nationales, même dans des affaires internes. Dans les États membres de l'UE, plus de 50 % des enquêtes pénales font déjà l'objet d'une demande transfrontalière visant à obtenir des données électroniques. Cela pose quelques défis aux autorités de poursuite pénale, notamment en termes de droit international public, car la collecte extraterritoriale de preuves constitue prima vista une atteinte à la souveraineté de l'autre État (voir ci-après, n. 10 ss).
2 Dans ce contexte transfrontalier, les autorités doivent disposer de pouvoirs d'intervention effectifs leur permettant de garantir les éléments de preuve nécessaires aux procédures pénales nationales. L'entraide judiciaire, en tant que mécanisme traditionnel de coopération internationale, est considérée comme inefficace et lente, en particulier lorsqu'il s'agit de données volatiles ou de données qui peuvent être déplacées, effacées ou manipulées sans effort particulier. En règle générale, les enquêteurs ne savent pas non plus dans quel État les données sont stockées ou, selon le fournisseur de services Internet, dans quel État les données sont conservées, ce qui ne leur permet souvent pas de juger, au moment de l'accès, s'ils franchissent la "frontière numérique de l'État", ni de savoir dans quel État l'entraide judiciaire doit être demandée - et même si les enquêteurs ont identifié un État, ils ont besoin d'un minimum d'informations (par exemple un mot de passe ou une adresse IP) pour justifier une demande d'entraide judiciaire prometteuse. un compte d'utilisateur ou une adresse IP), ce qui peut également s'avérer difficile dans certains cas.
3 La nécessité d'une conservation transfrontalière des preuves a été reconnue dès les années 90 et le 11 septembre 1995 - à une époque où les possibilités techniques actuelles n'étaient encore qu'esquissées dans certains ouvrages de vulgarisation - le Conseil de l'Europe a adopté la recommandation n° R (95) 13 sur les problèmes de procédure pénale liés aux technologies de l'information. Son paragraphe 17 se lit comme suit : "Le pouvoir d'étendre une recherche à d'autres systèmes informatiques devrait également être applicable lorsque le système est situé dans une juridiction étrangère, à condition qu'une action immédiate soit requise. Afin d'éviter d'éventuelles violations de la souveraineté des États ou du droit international, il convient d'établir une base juridique sans ambiguïté pour de telles recherches et captures étendues. Il y a donc un besoin urgent de négocier des accords internationaux sur la manière, le moment et l'étendue de telles recherches et incitations". En application de cette recommandation, des négociations ont ensuite été entamées en vue d'une convention sur la cybercriminalité. L'accélération de la coopération internationale ainsi que l'octroi éventuel de pouvoirs transfrontaliers, au mépris du principe de souveraineté, ont fait partie des thèmes centraux.
4 L'art. 32 de la Convention sur la cybercriminalité ("CCC") finalement adopté autorise, en violation de la souveraineté des Etats, l'accès à des données stockées dans d'autres Etats parties dans deux constellations, sans qu'une demande d'entraide judiciaire adressée aux autorités de l'autre Etat soit nécessaire : d'une part, lorsque des données accessibles au public sont concernées (let. a), et d'autre part, lorsque la personne autorisée a donné son consentement à l'accès (let. b). En d'autres termes, l'article 32 CCC permet dans ces cas une saisie directe de données stockées à l'étranger, sans qu'il soit nécessaire d'obtenir au préalable le consentement de l'État concerné et sans qu'il soit nécessaire de passer par la voie (semée d'embûches) de l'entraide judiciaire avant ou après la collecte. Le lest administratif disparaît totalement, car l'autre État ne doit pas être informé de la collecte des preuves. Si les conditions de l'art. 32 CCC ne sont pas remplies, notamment si l'ayant droit ne coopère pas, ou si une collecte n'est pas possible techniquement ou ne peut être mise en œuvre pour d'autres raisons, il faut, en application de l'art. 31 CCC, recourir à titre subsidiaire à la voie ordinaire de l'entraide judiciaire, le cas échéant en liaison avec une demande de conservation immédiate des preuves au sens de l'art. 29 CCC, si une perte de preuves risque de se produire.
5 L'article 32 de la CCC n'a fait l'objet d'aucune remarque lors de la procédure de consultation et du processus législatif de mise en œuvre de la CCC en Suisse, malgré les notions sujettes à interprétation qu'il contient et l'atteinte à la souveraineté qu'il implique.
6 L'orientation de l'art. 32 CCC n'a pas échappé à la critique ailleurs, d'une part en raison de la suppression de la protection des droits fondamentaux garantie par la souveraineté territoriale qui en découle, sans même que les autorités nationales ne soient informées de telles atteintes aux droits fondamentaux. L'article 32 de la CCC autorise ainsi des actes de souveraineté étrangers incontrôlés sur le territoire national, ce qui porte atteinte aux droits constitutionnels des personnes concernées et des tiers, est disproportionné et délicat, en particulier pour les États dont la situation des droits de l'homme est trouble. La facilitation de l'administration des preuves dans le cadre de la procédure pénale qui découle de l'article 32 CCC est devenue incontournable dans la poursuite d'infractions à composante numérique : notre vie - et donc celle des personnes suspectées - est devenue numérique et se déroule de plus en plus souvent en dehors de l'espace numérique attribuable au territoire suisse. Certes, la plupart des appareils électroniques disposent encore aujourd'hui d'une mémoire locale propre, souvent généreuse, qui peut être saisie, perquisitionnée (art. 246 CPP) et confisquée (art. 263 CPP) sur la base des règles générales de la procédure pénale, pour autant que l'appareil puisse être saisi en Suisse. La tendance est cependant à l'abandon du stockage local au profit de solutions basées sur le cloud ou dislocales, dont le lieu de stockage se situe quelque part dans le monde, ou en tout cas seulement pour une petite partie en Suisse (à l'exception d'industries particulières comme les banques et le conseil). De même, la communication se fait aujourd'hui régulièrement par le biais de médias sociaux et de services Internet comparables, dont le contenu n'est parfois même plus stocké localement sur l'appareil personnel. En permettant aux autorités de poursuite pénale nationales d'un Etat contractant de demander directement aux fournisseurs de services Internet étrangers la remise de données en évitant la voie de l'entraide judiciaire (cf. ci-après, n. 48, 55), l'art. 32 CCC garantit au moins partiellement que la recherche matérielle de la vérité ne devienne pas totalement illusoire en cas d'infractions ayant une composante numérique.
7 D'autre part, les milieux de la poursuite pénale en particulier considèrent l'article 32 CCC comme trop restrictif : l'article 32 CCC représente, en tant que " plus petit dénominateur commun ", un compromis finalement peu révolutionnaire. Les discussions sur l'admissibilité de l'obtention de preuves transfrontalières allant au-delà de l'article 32 CCC ont échoué en raison du manque de consensus au sein du Conseil de l'Europe. Les discussions qui se sont poursuivies depuis lors n'ont pas non plus permis de trouver un consensus, bien que la majorité des Etats considère le transfert de preuves au-delà des frontières nationales comme l'un des principaux défis de la poursuite pénale au niveau territorial. Le IIe Protocole additionnel à la Convention sur la cybercriminalité, adopté le 12 mai 2022 et déjà ratifié par deux États et signé par 40 autres États (état : octobre 2023), ne fait pas exception à la règle. Le Protocole additionnel à la Convention sur la cybercriminalité ("ZP II-CCC") n'a pas été un grand succès - mais il devrait tout de même permettre de demander directement et de manière contraignante à des prestataires de services à l'étranger, sans passer par l'entraide judiciaire, de fournir des informations sur l'enregistrement des noms de domaine et des données d'inventaire (art. 6 et 7 ZP II-CCC). La Suisse n'a pas encore signé ou ratifié le PA II-CCC, ce qui, selon des sources de l'Office fédéral de la justice, ne devrait pas se faire dans un avenir proche - d'une part parce que la nouvelle réglementation touche à nouveau au principe de souveraineté, et d'autre part parce que des discussions sont en cours sur ce thème au niveau des Nations Unies, et qu'il faut attendre qu'elles aboutissent. En effet, les discussions relatives à une convention des Nations unies sur la lutte contre l'utilisation des technologies de l'information et des communications à des fins criminelles ("traité des Nations unies sur la cybercriminalité") en sont à un stade avancé. Le projet actuel, soutenu par la majorité, ne prévoit toutefois pas de collecte transfrontalière de preuves, raison pour laquelle il ne semble pas approprié d'attendre la signature et la ratification du PC II-CCC.
8 Le règlement (UE) 2023/1543 récemment adopté dans l'UE concernant les mandats européens d'obtention de preuves et les mandats européens de conservation des preuves électroniques dans le cadre des procédures pénales et de l'exécution des peines privatives de liberté à l'issue de ces procédures, va un peu plus loin que l'article 32 de la CCC. 2023 ("règlement e-Evidence"), selon lequel les autorités judiciaires d'un État membre peuvent demander des preuves électroniques directement à un fournisseur de services d'un autre État membre (art. 1 al. 1 du règlement e-Evidence) et les fournisseurs de services sont légalement tenus d'éditer les données dans les 10 jours ou dans le délai imparti (art. 10 du règlement e-Evidence). L'art. 32 CCC mise en revanche sur le caractère volontaire des fournisseurs de services étrangers - s'ils ne répondent pas ou pas entièrement à la demande, la voie de l'entraide judiciaire doit être empruntée, même en cas de refus de coopération arbitraire, opaque ou infondé. Certes, l'art. 18 al. 1 let. b CCC prévoit au moins que le fournisseur de services Internet qui offre ses services "sur le territoire de la partie contractante" doit fournir sur demande les données existantes en rapport avec ces services. Le Tribunal fédéral ne permet toutefois pas d'ordonner la production de données sur la base de l'art. 18 al. 1 CCC à un fournisseur d'accès étranger ou considère qu'une telle décision est tout au plus légale si elle est adressée à sa filiale suisse, pour autant que celle-ci possède ou contrôle les données.
9 La critique des limitations de l'art. 32 CCC, exprimée surtout dans les milieux des poursuites pénales, s'est quelque peu atténuée en Suisse. En effet, le fait que la communauté internationale n'ait pas encore trouvé de solution consensuelle n'a pas empêché le Tribunal fédéral (sans doute pour des considérations de praticabilité, même si c'est au mépris du principe de souveraineté) d'autoriser également des collectes de preuves transnationales de données sans le consentement des personnes autorisées en recourant implicitement au principe dit de l'accès (cf. ci-après, n. 63 ss).
B. Fondement de droit international public : les principes de territorialité et de souveraineté (art. 31 CCC) ainsi que leur violation (art. 32 CCC)
10 Le principe de territorialité constitue une limite à l'action de l'Etat qui échappe à la souveraineté du droit international public. Il ne sert pas seulement à limiter l'applicabilité du droit pénal national à des faits étrangers - il existe bien sûr des exceptions - mais limite également l'action de l'Etat à son propre territoire. L'accomplissement d'actes officiels sur le territoire étranger n'est certes pas totalement interdit. Mais dans la mesure où un tel comportement n'est pas expressément autorisé par des accords internationaux (d'entraide judiciaire), des traités bilatéraux ou du moins des autorisations ad hoc, il constitue une atteinte inadmissible à la souveraineté de l'État et peut, le cas échéant, être sanctionné en conséquence selon le droit étranger. Les actes officiels non autorisés sur le territoire étranger sont également sanctionnés par le droit suisse (art. 299 CP ; cf. également art. 271 CP). Les preuves recueillies en violation du principe de territorialité ne peuvent en outre pas, le cas échéant, être utilisées dans la procédure pénale nationale (cf. ci-après, n. 69 ss).
11 En particulier, les "actes arbitraires ayant un caractère de contrainte et d'intervention sur le territoire d'autrui" violent la souveraineté de l'Etat et sont donc contraires au droit international. Ainsi, dans la mesure où il n'est pas fait appel à l'entraide judiciaire de l'Etat étranger, les arrestations de personnes à l'étranger par des fonctionnaires suisses sont tout aussi interdites que les interrogatoires, les visites sur place ou l'exécution directe de jugements. Selon le Tribunal fédéral, il en va de même pour l'envoi de citations à comparaître à des prévenus domiciliés à l'étranger, qui ne doivent pas être assorties de menaces de contrainte et doivent donc être conçues comme de simples invitations. Il apparaît donc clairement que les autorités de poursuite pénale ne peuvent pas recueillir physiquement des preuves à l'étranger ou y effectuer des actes de procédure sans passer par la voie de l'entraide judiciaire ou sans que de tels actes soient explicitement autorisés par un accord. Les perquisitions arbitraires ou la saisie et la fouille d'appareils électroniques ou de documents sur le territoire d'un autre Etat sont donc sans aucun doute interdites.
12 Il n'en va pas autrement des situations de recherche de preuves dans lesquelles les autorités pénales ne se trouvent certes pas physiquement sur le territoire étranger, mais procèdent en Suisse à des actes d'enquête qui ont des répercussions sur la souveraineté territoriale étrangère. Il s'agit par exemple de l'observation de personnes sur la rive allemande du Rhin par des policiers suisses depuis Schaffhouse, tout comme l'interrogatoire vidéo d'un prévenu se trouvant à l'étranger par un tribunal suisse. Un tel comportement viole également le droit international, car il équivaut dans ses effets à un acte de souveraineté directement sur le territoire d'un Etat étranger.
13 L'accès à des systèmes informatiques à l'étranger à partir d'un site en Suisse et donc la saisie de données stockées à l'étranger doivent également être qualifiés de tels actes de souveraineté extraterritoriaux. La communauté internationale revendique également sa souveraineté en ce qui concerne les installations de traitement de données stationnées sur son propre territoire et les données qui y sont stockées. Les pouvoirs de perquisition nationaux ne peuvent pas légitimer de telles atteintes à des droits de souveraineté étrangers. Cela a été reconnu par le Tribunal fédéral (voir toutefois ci-après, n. 63 ss.) et se reflète en particulier dans les discussions (intensives) sur le contenu et le développement de la CCC.
14 Dès qu'il est question de porter atteinte à la souveraineté d'un Etat étranger, celui-ci doit par conséquent donner son consentement, soit en fournissant l'entraide judiciaire sur demande individuelle, soit en accordant à des partenaires internationaux, par traité ou ad hoc, le droit d'agir en conséquence. Des exemples d'abandon partiel de la souveraineté de la Suisse se trouvent dans les accords avec les pays voisins sur la "poursuite" policière ou, de manière limitée, dans le contexte de la Convention sur la cybercriminalité. En effet, la création de l'art. 32 CCC a permis de renoncer à la nécessité d'une demande d'entraide judiciaire dans deux constellations : D'une part, l'accès à des données informatiques stockées et accessibles au public est autorisé, quel que soit le lieu géographique où se trouvent les données (let. a). D'autre part - et de manière très large par rapport à d'autres accords d'entraide judiciaire - une Partie contractante peut, selon l'article 32 let. b CCC, "accéder à des données informatiques stockées qui se trouvent sur le territoire d'une autre Partie contractante au moyen d'un système informatique situé sur son territoire ou recevoir ces données si elle obtient le consentement légal et volontaire de la personne légalement autorisée à lui transmettre les données au moyen de ce système informatique". Cela légitime non seulement une demande directe auprès de fournisseurs d'accès étrangers pour la remise d'informations, mais aussi l'accès en main propre des autorités par le biais de comptes d'utilisateurs existants (voir ci-après, n. 55). En d'autres termes, la CCC définit de manière contraignante pour les Etats parties dans quelles circonstances les autorités peuvent accéder directement à des données se trouvant à l'étranger (i.e. dans les conditions de l'art. 32 CCC) et quand elles sont tenues de déposer une demande formelle d'entraide judiciaire (dans tous les autres cas ; art. 31 CCC). Il en ressort que l'accès à des données étrangères est considéré comme une atteinte fondamentale à la souveraineté, indépendamment du fait que les membres des autorités de poursuite pénale ne se trouvent pas physiquement sur le territoire étranger lors de telles mesures de conservation des preuves. Dans le cadre de l'élaboration de la CCC, il s'est précisément avéré "qu'aucun consensus n'a pu être atteint sur des règles plus larges concernant les conditions dans lesquelles un accès unilatéral d'un État à des données se trouvant dans un autre État contractant peut avoir lieu sans l'autorisation de ce dernier".
C. Matériaux et interprétation
15 Les termes utilisés par l'article 32 de la CCC et les constellations qu'ils couvrent n'ont été que partiellement précisés dans le Rapport explicatif sur la CCC - en substance le "message" du Conseil de l'Europe sur la CCC -, ce qui comporte le risque que les autorités des États contractants les interprètent différemment. Il semble toutefois qu'il s'agisse d'une décision délibérée. Toujours est-il qu'un groupe de travail sur l'accès transfrontalier aux données ("T-CY Transborder Group") du Comité des Parties ("Cybercrime Convention Committee", "T-CY") a émis le 3.12.2014 une note d'orientation ("Guidance Note") sur l'accès transfrontalier aux données au titre de l'art. 32 CCC, qui peut être utilisée comme aide à l'interprétation. Les conditions de l'art. 32 CCC - par exemple la question de savoir qui est habilité à donner le consentement selon l'art. 32 let. b CCC - doivent toutefois être déterminées en dernier ressort selon le droit interne (cf. ci-après, n. 41 s.) ; sur ce point, une définition nationale et donc d'éventuelles divergences d'opinion entre les États contractants sont inévitables.
16 Selon le Conseil fédéral, la disposition doit être interprétée de manière restrictive "afin de contrecarrer le risque d'abus en contournant l'entraide judiciaire ou en portant atteinte à la sphère privée de tiers". Toutefois, si l'on tient compte de l'effet recherché par l'article 32 de la CCC - l'accélération de la procédure ou la simplification de l'administration des preuves -, cela laisse une marge de manœuvre pour des interprétations proches et adaptées à la pratique.
D. Nature juridique
17 L'art. 32 CCC est une norme de droit international public "self-executing" qui s'applique directement dès sa ratification. Les parties contractantes accordent ainsi aux autres États contractants le droit d'accéder directement aux données sur leur territoire en contournant la voie de l'entraide judiciaire. En d'autres termes, la disposition normalise une "renonciation à la procédure nationale dans l'État requis". Les autorités de poursuite pénale des Etats contractants peuvent se fonder directement sur l'art. 32 CCC, que ce soit dans le cadre de la procédure pénale nationale pour légitimer l'obtention de preuves correspondantes à l'étranger (tout en continuant à devoir respecter les règles de procédure nationales, cf. ci-après, n. 56) - l'art. 32 CCC ne constitue pas à cet égard une mesure de contrainte originale - ou qu'elles puissent invoquer, dans leurs relations avec l'Etat contractant concerné, l'absence d'atteinte illicite à la souveraineté étrangère. Par rapport à l'EIMP, les dispositions de la CCC priment en tout cas sur celles de l'EIMP (art. 1 al. 1 EIMP).
E. Champ d'application
18 L'art. 32 CCC autorise la saisie de données informatiques stockées dans un autre État contractant.
19 Selon l'art. 1 let. b CCC, sont considérées comme données informatiques toutes les représentations "de faits, d'informations ou de concepts sous une forme appropriée au traitement par un système informatique, y compris un programme qui peut déclencher l'exécution d'une fonction par un système informatique". L'article 32 de la CCC couvre donc l'accès aux données relatives au stock, au trafic ou à la marge, ainsi qu'au contenu, qui sont soit stockées, soit en cours de transmission au moment de l'accès. En raison de sa qualification juridique en tant qu'ensemble de données électroniques, les crypto-actifs peuvent par exemple être saisis en application de l'art. 32 let. b CCC, dans la mesure où les personnes habilitées donnent leur autorisation.
20 L'art. 32 CCC se réfère expressément au lieu de stockage des données concrètement envisagées (art. 32 let. b CCC : "[...] données informatiques stockées qui se trouvent sur le territoire d'une autre Partie contractante" ; cf. également art. 31 CCC : "[...] qui sont stockées au moyen d'un système informatique se trouvant sur le territoire de la Partie contractante requise"). Dans le cas de données stockées en plusieurs endroits, c'est l'endroit où se trouve l'ensemble des données qui doit être concrètement saisi qui est déterminant. Par conséquent, un accès en application de cette disposition n'est autorisé que si la CCC est applicable au lieu de stockage des données. Comme aucun des 68 Etats parties n'a émis de réserve à l'art. 32 CCC, l'examen peut se limiter à la question de savoir si l'Etat du lieu de stockage concerné est partie à la Convention sur la cybercriminalité, c'est-à-dire s'il l'a signée et ratifiée.
21 L'art. 32 CCC ne s'applique pas aux situations purement nationales : Si les données sont stockées localement sur un terminal ou un serveur se trouvant en Suisse et y ayant été saisi, c'est le droit national suisse qui s'applique à cet égard (en premier lieu les art. 246, 263 et 265 CPP, pour les données marginales voir l'art. 273 CPP). C'est également le cas lorsque des données étrangères se trouvent, au moment de l'accès, dans la mémoire intermédiaire de l'appareil saisi ici. Si l'appareil est utilisé comme "clé" ou "porte d'entrée" pour accéder à des services dont les données sont stockées à l'étranger (p. ex. cloud, webmail, etc.), sans que celles-ci soient stockées localement sur l'appareil, il s'agit d'une soustraction de données transnationale et l'art. 32 CCC doit être respecté (cf. toutefois n. 63 ss. ci-après). Le droit national suisse s'applique également lorsque des fournisseurs d'accès étrangers ont des filiales ou des partenaires suisses qui stockent les données en Suisse. Dans ce cas, l'accès peut se faire auprès de ces derniers. Toutefois, les centres de données n'en font généralement pas partie, car les données qu'ils stockent sont souvent cryptées et ne peuvent guère être lues sans la collaboration ou la collecte forcée des personnes autorisées à consulter les données. Il faut alors demander aux personnes étrangères la remise des données ou des clés, soit en application de l'art. 32 let. b CCC, soit subsidiairement par le biais de l'entraide judiciaire. L'art. 32 let. b CCC est également applicable lorsque des filiales ou des partenaires nationaux de fournisseurs d'accès étrangers sont enjoints par le ministère public de remettre des données qu'ils ont stockées à l'étranger. Il est correct de ne pas demander à une personne nationale, sous la menace, de fournir aux autorités de poursuite pénale à l'étranger des moyens de preuve disponibles, même s'il s'agit de données auxquelles elle a un droit d'accès. Le Tribunal fédéral a estimé qu'une ordonnance de production de documents au sens de l'art. 265 CPP adressée à une filiale suisse d'un fournisseur de services Internet était admissible si elle disposait d'une possibilité et d'une autorisation d'accès ("pouvoir de disposition, en fait et en droit, sur ces données"). Cela ne va pas à l'encontre de ce qui vient d'être dit, étant donné que l'ordre de production ne constitue pas encore une mesure de contrainte et que, dans ce contexte, il peut être compris et apprécié comme une demande de remise volontaire au sens de l'article 32 de la CCC.
22 En ce qui concerne les États tiers qui n'ont pas adhéré à la Convention, il faut partir du principe que la souveraineté de l'État y interdit tout accès en ligne à des données (non publiques, voir ci-après, n. 35) et que seule la voie de l'entraide judiciaire entre donc en ligne de compte.
23 Il est certes évident de se baser sur le lieu de stockage, car les Etats peuvent également invoquer le principe de souveraineté en ce qui concerne l'infrastructure informatique se trouvant sur leur territoire. Le problème est qu'au moment de l'accès, il n'est pas rare que ni l'autorité de poursuite pénale, ni la personne autorisée à consulter les données, ni même le détenteur des données, ne sachent où les données sont stockées à tout moment. Ainsi, les fournisseurs de services Internet ne stockent parfois pas les données de leurs clients dans leur pays d'origine, mais ailleurs. Le lieu de stockage peut également changer au fil du temps en raison de restructurations techniques ou de transferts vers d'autres sites (moins chers). En tout état de cause, il n'est souvent pas possible de déterminer avec certitude le lieu de stockage au moment de la consultation des données. La question se pose donc de savoir comment traiter le cas standard dans lequel l'autorité de poursuite pénale ne peut pas déterminer, au moment de la saisie envisagée, si les données sont stockées dans un Etat partie à la CCC, dans un Etat tiers ou même dans son propre pays. La documentation relative à l'art. 32 CCC n'aborde pas cette question de manière exhaustive ; la T-CY Guidance Note prévoit seulement, mais tout de même, que dans les situations où le lieu de stockage est inconnu ou incertain, les Parties doivent évaluer elles-mêmes la légitimité de l'accès à la lumière du droit national, des principes pertinents du droit international ou en tenant compte des relations internationales ("[...] Parties may need to evaluate themselves the legitimacy of a search or other type of access in the light of domestic law, relevant international law principles or considerations of international relations"). En cas d'emplacement inconnu, la question suivante se pose : Si l'applicabilité de l'article 32 de la CCC exigeait la connaissance certaine que le lieu de stockage se trouve dans un État contractant, l'article 32 let. b de la CCC perdrait sa signification et la sécurisation des données en nuage serait réduite à l'absurde. "La seule possibilité d'un emplacement dans un pays tiers ne peut pas non plus déclencher une obligation d'entraide judiciaire, d'autant plus qu'il n'est pas du tout établi à quel pays il faut s'adresser pour cela". Des clarifications détaillées sur le lieu de stockage sont souvent impossibles avant l'accès ou prennent trop de temps - certes : s'il n'y a pas d'urgence et que le lieu de stockage peut être déterminé techniquement sans effort particulier, on devrait s'y efforcer. Compte tenu de l'idée d'accélération de la CCC, il ne serait pas indiqué d'attendre jusqu'à ce que la connaissance soit sûre, surtout s'il y a un risque de perte de preuves. S'il devait s'avérer après coup que le lieu de stockage se trouvait effectivement dans un Etat tiers, il faudra demander une autorisation ultérieure d'accès aux données par le biais de l'entraide judiciaire (voir ci-après, n. 71).
24 En ce qui concerne les grands fournisseurs de médias sociaux, la situation est encore un peu plus compliquée. Ceux-ci ont leur siège principal aux Etats-Unis, mais leur siège européen se trouve souvent en Irlande et, selon leurs propres indications (qui ne sont pas forcément correctes au vu du U.S. Cloud Act), ils n'ont accès aux données des clients européens et suisses qu'à partir de l'Irlande (ce que les fournisseurs justifient par le règlement européen du 27.4.2016 sur la protection des données ["DSGVO"]), les données étant à leur tour régulièrement stockées dans d'autres Etats (p. ex. en Suède). L'Irlande n'a toutefois pas encore ratifié la CCC. La question se pose donc de savoir si les demandes au sens de l'art. 32 let. b CCC pour des données européennes à l'intention des filiales irlandaises sont autorisées et si les données collectées sont utilisables. La Suède doit-elle être considérée comme un lieu de stockage possible, même si les données peuvent éventuellement y être consultées, mais qu'elles sont cryptées et donc inutilisables ? Ou faut-il s'adresser à la société mère américaine, qui doit se procurer les données auprès de sa filiale européenne ? Dans la pratique, le caractère explosif de cette question est atténué par le fait que les demandes de renseignements peuvent être adressées par le biais des "Law Enforcement Portals" mis à disposition par les fournisseurs de services Internet - la société du groupe à partir de laquelle les fournisseurs mettent les données demandées à la disposition des autorités ou la manière dont ils se sont organisés en interne est laissée à leur appréciation et ne doit pas faire l'objet d'un examen plus approfondi, d'autant plus que les autorités de poursuite pénale n'ont de toute façon pas la possibilité de vérifier où les données éditées ont été effectivement stockées et quelle société du groupe y a précisément eu accès.
25 Compte tenu de toutes ces difficultés, le lieu de stockage n'a guère de sens en tant que critère déterminant. De lege ferenda, il conviendrait donc de renoncer au critère de rattachement du lieu de stockage pour l'art. 32 CCC et de le rattacher plutôt au siège ou au lieu de séjour de la personne qui a légalement accès aux données. Alternativement (conformément au règlement e-Evidence de l'UE et à l'art. 18 al. 1 let. b CCC), on peut aussi se contenter du fait que l'entreprise concernée offre ses services dans l'État concerné.
F. Pertinence pratique
26 L'article 32 de la CCC est devenu un outil indispensable pour la poursuite de la criminalité avec une composante numérique. Les autorités de poursuite pénale suisses s'appuient régulièrement sur l'art. 32 CCC, que ce soit par la collecte d'informations de source ouverte ("OSINF") en application de l'art. 32 let. a CCC, ou par l'accès aux données en cas de communication volontaire des données de connexion par la personne suisse habilitée à traiter les données conformément à l'art. 32 let. b CCC, ou en particulier par des demandes directes ("Information Requests") adressées à des fournisseurs de services Internet étrangers pour la communication de données d'inventaire, de données marginales ou de données de contenu (sachant que dans la pratique, seules les données d'inventaire et les données marginales sont le plus souvent fournies et que pour les données de contenu, il faut passer par la voie de l'entraide judiciaire, le cas échéant en combinaison avec une "Preservation Request" selon l'art. 29 CCC). Les chiffres des demandes directes de renseignements sont remarquables : au cours du premier semestre 2022, Google a reçu à lui seul plus de 422 000 demandes directes, dont 1 357 émanant d'autorités de poursuite pénale suisses, dont 90 % ont été acceptées. Les fournisseurs d'accès n'ont toutefois pas de comptes à rendre s'ils refusent une demande ; ils peuvent fixer eux-mêmes les conditions d'une remise, les modifient régulièrement et, en outre, les conditions varient considérablement d'un fournisseur à l'autre. Cela est acceptable dans le régime actuel, puisque l'article 32 de la CCC est basé sur le volontariat.
II. Accès à des données accessibles au public ("open source") stockées dans un autre État contractant (let. a)
A. Données accessibles au public
27 Dans le secteur du renseignement, la collecte et l'exploitation d'"informations en source ouverte" sont désignées par le terme "OSINT" ("Open Source Intelligence"). L'utilisation de données accessibles au public est également devenue une méthode d'enquête utile et non invasive dans le domaine de la répression. Cette tendance est soutenue par l'industrie technologique, qui a développé des outils permettant d'automatiser la collecte des données au lieu de les rassembler manuellement : Par exemple, en mettant à disposition un logiciel permettant d'extraire de Facebook toutes les informations accessibles au public et de les représenter sous forme d'arbres de relations et sur l'axe du temps, ou des aides techniques permettant de suivre le flux d'argent des crypto-monnaies (dont la blockchain est accessible au public). L'utilisation de l'intelligence artificielle n'est plus une utopie.
28 Les données sont publiques lorsqu'elles sont librement accessibles via un système de traitement des données et qu'elles ne sont pas soustraites à l'accès général par des mesures de sécurité particulières. Il suffit qu'elles soient rendues accessibles à un cercle indéterminé d'utilisateurs, même si un login est nécessaire, "mais que celui-ci est en principe accordé à chaque utilisateur lorsqu'un formulaire d'inscription correspondant a été rempli". Un système peut également n'être que partiellement public. En revanche, les données qui "ne sont accessibles qu'au moyen d'une interface d'un terminal se trouvant dans l'objet de la recherche - non accessible au public" ne sont pas "open source".
29 Sont considérées comme données accessibles au public, à titre d'exemple et dans le sens d'une énumération non exhaustive, les médias de masse librement accessibles (presse écrite [même si elle est protégée par un paywall], radiodiffusion), toutes les informations trouvables sur Internet (Clearnet ainsi que Darknet), les applications basées sur le Web (comme Google Earth), les informations sur la blockchain visible par le public (par ex. pour le bitcoin), les données accessibles au public sur le site web d'une entreprise ou d'une administration, les webcams librement accessibles, une liste de diffusion ouverte à toute personne intéressée, les données librement disponibles sur une plateforme de partage, l'extraction de données techniques à partir d'un serveur web, la détermination d'informations sur les domaines via des bases de données "WhoIs", des renseignements sur les débiteurs, le registre foncier, le registre du commerce et le contrôle de l'habitant accessibles librement ou contre paiement à l'étranger ou des enregistrements disponibles de procédures pénales, administratives et civiles, l'observation de chats publics, de forums Internet ouverts et de réseaux sociaux activés publiquement (l'utilisation de données publiques, de photos et de relations sur Facebook, d'informations à partir de X, Instagram, LinkedIn, etc. ). Un post dans un groupe fermé (forum en ligne, Facebook ou autre) peut également être qualifié de public dans le cas de groupes comptant un grand nombre de membres ou dont l'accès est de fait illimité, à moins que le cercle de personnes ne soit délimité de manière précise et que les personnes soient personnellement liées entre elles. De même, ne peuvent plus être qualifiés de publics "les groupes d'utilisateurs fermés dans lesquels les administrateurs du site vérifient l'identité des utilisateurs au cas par cas et où un enquêteur n'aurait accès qu'en simulant une légende, par exemple".
30 Selon les circonstances, non seulement les données de contenu (données personnelles ou autres), mais aussi les données de base (par exemple les informations d'enregistrement des bases de données "WhoIs") ou (rarement) les données marginales peuvent être publiques et donc être collectées en application de l'article 32 let. a CCC.
31 Pour la qualification de données accessibles au public, il importe peu que les données aient été publiées sans autorisation ou avec le consentement de la personne autorisée à traiter les données. Si la publication a eu lieu de manière illégale (par exemple en raison d'une violation des obligations légales de confidentialité), les données sont utilisables dans la procédure pénale nationale si elles auraient pu être obtenues légalement par les autorités de poursuite pénale et si une pesée des intérêts plaide en faveur de leur utilisation. Pour le premier critère, il convient donc de déterminer si les données auraient hypothétiquement pu être saisies même si elles n'avaient pas été publiques - c'est-à-dire si elles auraient pu être obtenues dans le cadre de l'art. 32 let. b CCC ou par la voie de l'entraide judiciaire.
B. Nature juridique : qualification d'atteinte aux droits fondamentaux ?
32 La question est de savoir dans quelle mesure la collecte et l'exploitation de données accessibles au public doivent être qualifiées d'atteinte aux droits fondamentaux et, par conséquent, de mesure de contrainte au sens de l'article 196 CPP. La réponse à cette question est essentielle, d'une part pour déterminer dans quelle mesure il est possible d'accéder à des données publiques situées dans un Etat tiers, et d'autre part parce que, dans l'affirmative, il doit exister une base légale suffisamment concrète (art. 197 al. 1 let. a CPP). Cette dernière condition est déjà remplie par l'art. 95 CPP (collecte de données personnelles).
33 Selon l'art. 196 CPP, les mesures de contrainte sont des actes de procédure des autorités pénales qui servent entre autres à conserver des preuves, dans la mesure où elles portent atteinte aux droits fondamentaux des personnes concernées. L'art. 196 CPP ne présuppose donc pas nécessairement la contrainte (contrairement au libellé ["mesure de contrainte"]), mais se fonde plutôt de manière décisive sur la question de savoir si la mesure doit être considérée comme une atteinte aux droits fondamentaux des personnes concernées. Outre le droit à la liberté personnelle et la garantie de la propriété, la protection de la sphère privée selon l'art. 13 Cst. et l'art. 8 CEDH, ou plus concrètement le droit à l'autodétermination en matière d'information qui y est ancré, est au premier plan. Parmi les atteintes à ce droit constitutionnel, on peut citer les écoutes téléphoniques, la collecte de données de télécommunication, le prélèvement et l'analyse d'ADN et d'empreintes digitales, l'observation (y compris la surveillance systématique par des détectives privés), les enregistrements vidéo par la police, la mise en place d'un IMSI-catcher et la recherche en ligne protégée par mot de passe ou la saisie de messages échangés par chat.
34 En ce qui concerne la surveillance automatisée de la circulation, le Tribunal fédéral a déclaré une fois que la protection de la sphère privée ne se limitait pas aux locaux privés, mais s'étendait également au domaine public privé ; l'art. 13 Cst. couvre également les faits de la vie ayant un contenu personnel qui se produisent dans l'espace public. Avec la Cour constitutionnelle fédérale allemande, l'accès aux "contenus de communication et informations disponibles sur Internet, qui s'adresse à tout le monde ou du moins à un cercle de personnes non délimité", ne peut pas encore être caractérisé, à juste titre, comme une atteinte au droit à l'autodétermination en matière d'information. Les contenus qui, sur les blogs, les forums ou les médias sociaux, sont réservés à un certain cercle d'utilisateurs et s'adressent donc à un environnement marqué par des relations personnelles ou une confiance particulière, relèvent de la sphère privée au sens de l'art. 13 al. 1 Cst. et leur consultation doit être considérée comme une atteinte aux droits fondamentaux. Les données qui sont accessibles à tout utilisateur d'Internet sans condition préalable ou qui peuvent être consultées par tous les utilisateurs enregistrés sur une plate-forme (indépendamment d'une relation de proximité avec la personne qui fournit les informations) ne peuvent plus être considérées comme "privées", quel que soit leur contenu. Les informations qui sont déjà connues du public ne présentent plus, à juste titre, d'intérêt digne de protection (à l'exception du "droit à l'oubli" en matière de protection des données).
35 Si l'accès à des données accessibles à tous n'est pas une mesure de contrainte, cela signifie en même temps que l'art. 32 let. a CCC n'est pas de nature constitutive, mais purement déclaratoire : si l'accès à des sources publiques ne viole pas la souveraineté de l'État en l'absence d'exercice d'une contrainte proprement dite, il n'est pas non plus nécessaire de conclure un accord interétatique. Par conséquent, les données accessibles au public provenant d'États tiers qui n'ont pas ratifié la CCC peuvent également être consultées sans problème. Ce dernier point est parfois justifié par le fait que l'accès transnational aux "open source data" relève du droit international coutumier, de tels actes d'enquête étant considérés comme incontestés.
36 Même si l'on ne suivait pas ce raisonnement dans l'absolu, l'interception de données volontairement divulguées - par exemple des contenus de communication dans les médias sociaux - ne pourrait en tout cas pas être caractérisée comme une atteinte aux droits fondamentaux. En effet, en décidant délibérément de partager des informations personnelles, les personnes concernées renoncent à leur autodétermination en matière d'information en ce qui concerne ces données spécifiques ou, en d'autres termes, elles ont précisément exercé leur autodétermination en matière d'information en les mettant à disposition dans le domaine public. Il en va de même pour les traces de données publiques laissées par des apports personnels, comme les transactions effectuées avec le bitcoin, qui peuvent être retracées sur la chaîne de blocs publique. Par ailleurs, les données qui ne peuvent pas être directement attribuées à une personne déterminée ne sont pas protégées par les droits fondamentaux. Il s'agit par exemple de l'utilisation de "Google Earth" ou de données techniques divulguées par un serveur web. Par conséquent, la collecte et l'analyse d'informations personnelles non divulguées volontairement peuvent être considérées comme des mesures de contrainte ; dans ce cas, on pourrait légitimement faire valoir que les personnes concernées n'ont aucun contrôle sur les informations les concernant qui sont disponibles sur Internet. Toutefois, même dans ce cas, il faudrait tenir compte du fait qu'OSINT est une intervention relativement peu invasive et donc proportionnée, puisqu'elle se limite aux informations qui peuvent être consultées par tout un chacun sans restriction d'accès spécifique.
C. Conditions d'un accès autorisé aux données selon le droit de procédure pénale suisse
37 L'accès à des données "open source" est autorisé pour n'importe quelle infraction (crime, délit ou contravention), dans la mesure où la collecte de preuves disponibles sous forme électronique est utile à leur poursuite (cf. art. 25 al. 1 et art. 14 al. 2 let. c CCC). Dans la mesure où le droit cantonal en matière de police le permet, il est également possible d'accéder à des informations publiques dans le cadre d'une activité policière préventive.
38 En raison de l'absence d'atteinte aux droits fondamentaux, les enquêtes "open source" ne doivent pas être considérées comme des mesures de contrainte au sens des art. 196 ss CPP (cf. supra, n. 32 ss). En conséquence, ni les dispositions formelles et matérielles relatives à la perquisition (art. 246 ss CPP) ni celles relatives au séquestre (art. 263 CPP) ne sont applicables. "OSINF" ou "OSINT" est plutôt considéré comme une collecte de preuves autorisée sur la base de l'art. 95 CPP au sens de l'art. 139 al. 1 CPP.
39 Le fait que des membres des autorités de poursuite pénale se connectent sous une fausse identité dans les médias sociaux ou dans un chat pour avoir accès aux contenus qui y sont publiés ne doit pas être considéré comme une recherche secrète (art. 298a CPP) ou une investigation secrète (art. 285a CPP), car aucun contact direct n'est établi avec la personne visée. Il en irait autrement si l'enquêteur envoyait activement une demande d'amitié ou autre à la personne visée afin de pouvoir également prendre connaissance de ses contributions (privées) ou s'il obtenait frauduleusement l'accès à un chat ou à un forum non accessible à tous en créant une légende.
40 La valeur probante des données disponibles publiquement doit être examinée en détail dans le cadre de la libre appréciation des preuves (art. 10 al. 2 CPP). Diverses considérations jouent un rôle à cet égard, en premier lieu l'origine de la preuve, son authenticité et sa fiabilité, le rapport de son auteur avec les parties à la procédure, mais aussi et surtout le fait que la source soit anonyme ou connue, d'autant plus que les doutes sont grands en cas d'origine inconnue et que les données sont relativement faciles à manipuler. Il est également important que les données soient sécurisées selon l'état actuel de la technique, car les métadonnées permettent de tirer d'éventuelles conclusions sur la valeur probante ; la simple réalisation de captures d'écran ne suffira pas.
III. Accès à d'autres données stockées dans un autre État contractant (let. b)
A. Consentement légal et volontaire de la personne légalement habilitée à transmettre les données
1. Autorisation de transmission
41 L'article 32 de la CCC ne règle que l'admissibilité de l'accès aux données en droit international ; "les dispositions nationales à l'aune desquelles la transmission de données doit être évaluée, c'est-à-dire selon lesquelles il convient de décider si le consentement à la transmission a été donné légalement par une personne habilitée à le faire, ne sont pas affectées par la convention". Le Conseil de l'Europe a renoncé à définir plus précisément la notion d'autorisation de transmission dans la CCC. Le rapport explicatif précise à cet égard que la personne qui peut donner son consentement "peut varier en fonction des circonstances, de la nature de la personne et du droit applicable concerné".
42 La question de savoir qui est "légalement autorisé à transmettre les données [...]" est déterminée par le droit interne de l'État requérant, c'est-à-dire celui dans lequel l'enquête est menée. Cela semble également judicieux parce qu'une localisation précise des données avant l'accès n'est souvent pas possible, ou pas sans grands efforts. Il serait en outre impraticable et incompatible avec l'idée d'accélération de la CCC d'exiger des autorités suisses qu'elles vérifient la situation d'autorisation pour chaque État contractant séparément avant de pouvoir procéder à une sauvegarde des données.
43 L'autorisation de transmettre des données est nécessaire. Est nécessaire, mais aussi suffisant, le consentement d'une personne légalement autorisée à les divulguer aux autorités de poursuite pénale. L'autorisation peut être de nature légale ou obligatoire.
44 Contrairement au message, l'existence du consentement "d'une personne se trouvant sur le territoire national" n'est pas une condition supplémentaire ; l'art. 32 let. b CCC ne connaît pas de critère restrictif de ce type, qui serait en outre contraire à l'esprit et au but de la convention.
45 Le rapport explicatif et le message citent comme exemples de personnes susceptibles de donner leur consentement les personnes qui ont stocké leur courrier électronique auprès d'un fournisseur de services dans un autre Etat ou d'autres données à l'étranger. Dans la littérature, le client qui loue l'espace de stockage est désigné comme personne autorisée pour les données stockées sur des serveurs en nuage, la banque pour les données relatives aux transactions financières, l'employeur pour le compte de messagerie professionnel et, pour les personnes morales, les personnes déclarées compétentes en interne, le conseil d'administration (SA) ou la direction (Sàrl) en l'absence de telles réglementations internes ; les administrateurs ou autres personnes autorisées à accéder aux données ne devraient pas avoir cette autorisation.
46 Un aspect qui n'est pas abordé de manière exhaustive dans le Rapport explicatif est la question de savoir si le consentement doit toujours être donné par les personnes concernées (propriétaires des données) ou si l'autorisation d'autres instances qui traitent les données personnelles (en premier lieu le fournisseur de services Internet en tant que détenteur des données) suffit. L'extension aux fournisseurs de services Internet est considérée d'un œil critique, car ces derniers ne feraient qu'exercer la garde des données et ne seraient donc pas en position de pouvoir donner un consentement juridiquement valable.
47 La question du droit de transmission doit être considérée dans le contexte plus large du fait qu'en Suisse, selon la situation juridique actuelle, il n'existe pas de droit similaire à la propriété sur les données : Le droit de propriété selon l'art. 641 CC s'étend uniquement à la "chose", par laquelle la doctrine entend "un objet corporel, distinct des autres et susceptible d'être maîtrisé en fait et en droit". Les données étant des biens immatériels, il n'est pas possible de créer une propriété au sens de l'art. 641 CC (mais il est possible de créer une propriété sur des installations de traitement de données ou des supports de données). De même, le droit d'auteur s'étend uniquement aux créations intellectuelles à caractère individuel sous forme de données et ne s'applique qu'exceptionnellement. Le droit de la protection des données reconnaît néanmoins un droit d'accès aux données, en tout cas en ce qui concerne les données personnelles, pour lesquelles l'art. 25 de la loi fédérale sur la protection des données du 25.9.2020 ("LPD", RS 235.1) prévoit un droit d'accès. L'art. 28 LPD accorde en outre aux personnes concernées, si certaines conditions sont remplies, le droit à la remise et à la transmission de données personnelles (portabilité des données), pour autant qu'elles aient communiqué ces données aux responsables. En outre, les données personnelles "ne peuvent être collectées que dans un but précis et identifiable par la personne concernée ; elles ne peuvent être traitées que de manière compatible avec ce but" (art. 6 al. 3 LPD). La remise de données personnelles aux autorités de poursuite pénale constitue à cet égard une forme de traitement de données (cf. art. 5 let. d LPD). Cela signifie que : La personne autorisée peut consentir à la transmission par la personne traitant les données.
48 C'est pourquoi la Suisse, à l'instar d'autres Etats contractants, admet le consentement des fournisseurs de services Internet comme conséquence de leur relation de droit privé avec la personne concernée, lorsque les fournisseurs de services se sont réservés un droit de transmission aux autorités étrangères de poursuite pénale dans leurs conditions générales d'utilisation ou leurs directives d'utilisation des données. La majorité des fournisseurs de services Internet prévoient dans leurs accords d'utilisation que les données peuvent être transmises non seulement en présence d'une décision judiciaire valable, mais aussi sur simple demande des autorités de poursuite pénale ou que les fournisseurs coopèrent avec les autorités de poursuite pénale. Dans ces cas, la transmission est conforme à la loi.
2. Consentement
49 Le fait qu'un fournisseur d'accès étranger concerné soit en principe autorisé à donner son consentement à une remise directe de données ne suffit pas encore (selon le libellé clair de l'art. 32 let. b CCC) pour un accès transfrontalier : Il convient plutôt d'examiner plus avant si l'autorité de poursuite pénale requérante a obtenu un "consentement légitime et volontaire" juridiquement valable.
50 Comme nous l'avons vu, est habilitée à donner son consentement la personne morale ou la personne physique capable de discernement qui, en vertu d'une autorisation légale ou obligatoire, peut disposer des données et y donner accès à des tiers (cf. également n. 43 ss. ci-dessus). Lorsque plusieurs personnes sont autorisées à transmettre des données, l'autorisation d'une seule personne suffit. Si, par exemple, l'autorisation est donnée par le titulaire du compte, aucun consentement supplémentaire n'est nécessaire de la part de l'entreprise étrangère prestataire de services. Inversement, il suffit que le fournisseur d'accès étranger transmette les données en se fondant sur une autorisation correspondante du client dans les conditions générales d'utilisation (concernant le consentement par les fournisseurs de services Internet, cf. ci-dessus, n. 46 ss).
51 Conformément aux principes généraux de la procédure pénale, le consentement peut soit être déclaré expressément (aucune exigence de forme n'est applicable), soit être implicite. Ce dernier cas de figure se produit notamment lorsque la personne sollicitée par les autorités de poursuite pénale - par exemple un fournisseur de services ou le titulaire du compte concerné - fournit les données sur demande.
52 Cela signifie en même temps que des "demandes d'informations" correspondantes peuvent être faites à l'étranger, et ce sans que cela soit qualifié d'acte illicite dans un Etat étranger. Dans la pratique, les demandes directes aux fournisseurs d'accès étrangers sont devenues un standard international, qui peuvent soit être saisies sur des portails de poursuite pénale exploités par les fournisseurs d'accès, soit, dans le cas d'autres fournisseurs d'accès (plus petits), être transmises par la voie policière (via Interpol). Divers accords internationaux autorisent en outre la notification directe de documents officiels à l'étranger, du moins en principe, à commencer par l'art. 52 al. 1 de la Convention d'application de l'accord de Schengen du 19.6.1990 ("CAAS"). Or, cette disposition prévoit que chaque État peut ou doit faire une déclaration sur les documents qui peuvent être envoyés aux personnes se trouvant sur son territoire. Il convient donc en principe d'examiner séparément pour chaque État contractant si et, dans l'affirmative, dans quelle mesure une notification directe est autorisée. Dans la mesure où les destinataires sont informés que toute coopération est volontaire et qu'aucune conséquence négative directe n'est liée à un refus de coopération, on ne voit pas dans quelle mesure on peut y voir une violation de la souveraineté territoriale étrangère et donc un cas d'application de l'article 52, al. 1, CAAS - il s'agit de simples invitations sans menace de contrainte et sans conséquences négatives liées à un éventuel refus de coopération. Il ne serait guère judicieux que la réglementation d'exception de l'art. 32 let. b CCC permette d'accroître l'efficacité de la difficile voie de l'entraide judiciaire formelle, mais que celle-ci soit en même temps torpillée par l'exigence de devoir clarifier, par cette même voie de l'entraide judiciaire formelle, la disposition des personnes concernées à coopérer volontairement. L'article 32, let. b, de la CCC prime sur l'article 52 de la CAAS.
53 Le consentement doit être libre ; la personne concernée ne doit pas être trompée ou contrainte à fournir des données. Il existe certes souvent une situation de pression indirecte, car le ministère public pourrait, en cas de refus, exiger la saisie et la transmission des données concernées dans le cadre de l'entraide judiciaire. Cela ne suffit toutefois pas à entraver la formation de la volonté. Il en va de même, par exemple, dans le cas d'une situation de détention où le prévenu pourrait se sentir subjectivement contraint, en raison des circonstances, de coopérer et de mettre à disposition les données enregistrées à l'étranger afin d'être libéré le plus rapidement possible de sa détention. Toutefois, même une telle situation de pression générale ne l'empêche pas de donner un consentement conforme à la loi. En revanche, la menace concrète d'éventuels autres inconvénients est interdite. De même, une personne domiciliée en Suisse ne peut pas être contrainte, sous la menace, de produire des données enregistrées à l'étranger auxquelles elle a accès. Elle peut toutefois être invitée à le faire par une ordonnance de production (art. 265 CPP).
54 Enfin, le consentement peut être révoqué à tout moment, la révocation n'étant valable qu'ex nunc. Une révocation après la sauvegarde des données n'est donc pas pertinente.
B. Conséquence d'un consentement juridiquement valable
55 Si la personne habilitée à disposer de ses données de connexion à des services Internet étrangers dérivés les divulgue volontairement ou consent à une perquisition en ligne, les autorités de poursuite pénale ont la possibilité, en application de l'art. 32 let. b CCC, d'accéder directement aux informations en utilisant les données d'accès et de les saisir. De même, toute personne privée est libre de mettre à la disposition des autorités de poursuite pénale une copie de ses propres données stockées auprès d'un fournisseur d'accès étranger (par exemple des e-mails ou des messages de chat). Il est également admissible que les autorités de poursuite pénale demandent directement à un fournisseur de services Internet domicilié à l'étranger de leur remettre des données (cf. ci-dessus, n. 48, 51 s.).
C. Conditions d'un accès autorisé aux données selon le droit de procédure pénale suisse
56 L'accès à des données non publiques en Suisse n'est pas possible sans conditions. S'il s'agit de données relatives au contenu, les données doivent être saisies (par exemple par une ordonnance de production [art. 265 CPP] ou à l'occasion d'une perquisition [art. 244 CPP]), perquisitionnées (art. 246 CPP) et ensuite saisies si elles sont pertinentes pour la preuve (art. 263 CPP). Pour les données relatives au trafic, une collecte rétroactive des données marginales (art. 273 CPP) doit être ordonnée et approuvée par le tribunal des mesures de contrainte (art. 274 CPP). L'art. 32 let. b CCC ne constitue pas une mesure autonome de conservation ou de collecte de preuves qui primerait sur les conditions nationales. Cette disposition règle uniquement le fait qu'il est possible de renoncer à une procédure d'entraide judiciaire en présence d'un consentement juridiquement valable. L'accès aux données, même s'il est transnational, constitue donc une mesure de contrainte nationale qui doit satisfaire aux exigences de la législation nationale. La saisie de données à l'étranger doit donc - en plus du consentement décrit - remplir comme condition nécessaire les mêmes conditions que si les données avaient été enregistrées en Suisse. Une "Information Request" adressée à un fournisseur d'accès à Internet doit donc être qualifiée de décision d'édition au sens de l'art. 265 CPP.
57 Il s'ensuit tout d'abord que l'ouverture d'une enquête pénale au sens de l'art. 309 al. 1 CPP et donc un soupçon suffisant sont en principe présupposés, une procédure pénale qui n'est pas encore formellement ouverte étant automatiquement réputée ouverte par la saisie de données (art. 309 al. 1 let. b CPP). Dans la procédure d'enquête policière indépendante, il n'est pas possible de se fonder sur l'art. 32 let. b CCC. Les services de renseignement ne peuvent pas non plus s'y référer.
58 La CCC sert à recueillir des preuves d'une infraction disponibles sous forme électronique (cf. art. 25 al. 1 et art. 14 al. 2 let. c CCC). Le soupçon suffisant peut donc en principe s'étendre à n'importe quelle infraction, pour autant qu'il existe au moins le soupçon criminologique que celle-ci a été commise avec un moyen technique. La gravité de l'infraction n'a pas d'importance : l'accès transnational aux données est en principe ouvert aux crimes, aux délits et aux contraventions (dans les cas mineurs, la proportionnalité de l'accès aux données peut toutefois être discutée).
59 Pour saisir des données de contenu, il faut qu'il y ait lieu de supposer qu'elles contiennent des informations susceptibles d'être saisies (art. 246 CPP). Selon l'art. 263 al. 1 let. a CPP, les objets appartenant à un prévenu ou à un tiers peuvent être saisis, notamment s'ils sont utilisés comme moyens de preuve. Pour la saisie et la perquisition d'enregistrements, il suffit donc d'une pertinence potentielle des preuves, qui est donnée lorsque les données "peuvent être importantes" pour l'élucidation des infractions reprochées ou qu'elles ne semblent pas "manifestement inappropriées". La jurisprudence n'est pas très exigeante à cet égard. Enfin, la saisie et la perquisition doivent être proportionnées (art. 197 al. 1 let. c et d CPP) et donc appropriées, nécessaires et adéquates. La proportionnalité peut être discutable, notamment dans le cadre de la poursuite de contraventions. D'un point de vue formel, la saisie et la perquisition doivent en règle générale être ordonnées par le ministère public dans un ordre écrit (art. 241 al. 1 CPP). En revanche, pour la collecte de données de stock, la seule condition est qu'il existe un soupçon qu'une infraction a été commise via Internet (art. 22, al. 1, de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication du 18.3.2016 ["LSCPT" ; RS 780.1]).
60 Si l'historique/les données log IP ou d'autres données marginales sont collectées à l'étranger, la question se pose de savoir si le ministère public peut rendre ces enregistrements disponibles de sa propre compétence ou si une autorisation doit être demandée au tribunal des mesures de contrainte en application de l'art. 273 al. 2 CPP. Le Tribunal fédéral a un jour retenu que l'art. 273 CPP ne permettait qu'une collecte rétroactive des données marginales de la correspondance par télécommunication "à l'égard des fournisseurs de services de télécommunication ou des fournisseurs d'accès à Internet soumis au droit suisse et domiciliés en Suisse". Il a ainsi exclu son applicabilité aux situations internationales, avec pour conséquence que la collecte ne devrait pas nécessiter l'autorisation du tribunal des mesures de contrainte ; en d'autres termes, l'art. 32 let. b CCC "permet un échange international facilité de données marginales". Dans un autre arrêt, le Tribunal fédéral a toutefois rejeté une demande d'autorisation du ministère public au motif que les conditions de l'art. 32 let. b CCC n'étaient pas remplies en l'espèce, ajoutant que l'accès transfrontalier direct aurait dû être autorisé par le tribunal des mesures de contrainte conformément à l'art. 273 CPP. Plus encore, il a expressément constaté dans un autre jugement que même les historiques IP consultés auprès de fournisseurs étrangers devaient être soumis à l'autorisation du tribunal des mesures de contrainte et que, comme cela n'avait pas été fait dans le cas concret, les informations issues de ces consultations étaient absolument inutilisables. Le fait que le Tribunal fédéral se soit penché ici sur l'art. 273 CPP peut sembler compréhensible à première vue si l'on considère la nature juridique de l'art. 32 let. b CCC, qui déclare uniquement que l'accès transnational est autorisé par le droit international public, mais qui ne touche pas aux dispositions nationales, précisément en ce qui concerne la compétence de collecter des données. Il faut toutefois tenir compte du fait que les dispositions relatives à la collecte rétroactive de données secondaires ne sont pas activées uniquement par le type de données à collecter (données relatives au trafic ou données secondaires), mais que les données doivent être collectées auprès d'un fournisseur de télécommunications ou être protégées par le secret des télécommunications (art. 321ter CP et art. 43 de la loi sur les télécommunications du 30.4.1997 ["LTC" ; RS 784.10]). Le secret des télécommunications ne s'applique toutefois (dans la mesure où cela nous intéresse ici) qu'aux fournisseurs qui proposent un accès à Internet ou une transmission par télécommunication. Les fournisseurs de services Internet ou les fournisseurs de services de communication dérivés qui n'offrent pas d'accès à Internet, mais uniquement des services fournis via Internet ("over-the-top services"), ne sont pas considérés comme des fournisseurs de télécommunications. C'est pourquoi la saisie de données secondaires auprès de telles entreprises n'est pas soumise à autorisation, ni en Suisse ni à l'étranger. Au contraire, une décision d'édition à l'attention du fournisseur de services Internet est suffisante (art. 265 CPP). Par conséquent, si des historiques IP et d'autres données secondaires sont collectés à l'étranger sur la base de l'art. 32 let. b CCC auprès de fournisseurs de services autres que de télécommunication, il n'est pas nécessaire de demander l'autorisation du tribunal des mesures de contrainte.
61 La question se pose enfin de savoir dans quelle mesure les autres conditions de l'entraide judiciaire, notamment les motifs de refus et la nécessité d'une double incrimination, s'appliquent également à l'art. 32 let. b CCC. L'art. 25 al. 4 CCC prévoit, sous le titre 3 ("Principes généraux de l'entraide judiciaire"), que, sauf disposition contraire expresse de la CCC, "l'entraide judiciaire est soumise aux conditions prévues par le droit de la Partie requise ou par les traités d'entraide judiciaire applicables, y compris les motifs pour lesquels la Partie requise peut refuser de coopérer". Or, l'art. 32 let. b CCC permet un accès direct avant l'entraide judiciaire ; une "demande" à l'autre Etat contractant, telle que celle qui est à la base de l'art. 25 al. 4 CCC, n'est justement pas nécessaire ici. L'accès volontaire ne requiert donc pas de double incrimination et ne nécessite pas le respect d'autres conditions qui s'appliqueraient autrement dans la procédure d'entraide judiciaire. Cet assouplissement se justifie d'une part par le caractère volontaire des personnes qui donnent leur consentement et d'autre part par la nature juridique de l'art. 32 let. b CCC, qui prolonge le bras territorial des autorités de poursuite pénale, alors qu'il s'agit toujours d'une mesure nationale de conservation des preuves. Si la tentative de saisie des enregistrements sur la base de l'art. 32 let. b CCC échoue, il faut bien sûr suivre la voie ordinaire de l'entraide judiciaire, pour laquelle les limitations correspondantes s'appliquent à nouveau.
62 La personne concernée ne peut pas s'opposer à la saisie directe en tant que telle ou à la demande du fournisseur d'accès ; elle dispose néanmoins d'un moyen de recours contre la perquisition, à savoir l'apposition de scellés (art. 248 CPP), dans la mesure où elle peut rendre vraisemblable une interdiction de séquestre (art. 264 CPP). L'apposition de scellés a pour effet que les autorités de poursuite pénale ne peuvent provisoirement pas perquisitionner les enregistrements jusqu'à ce que le tribunal des mesures de contrainte se soit prononcé sur l'admissibilité de la collecte des données et de la perquisition.
IV. Conservation des preuves au-delà de l'article 32 de la CCC selon le principe d'accès
63 En friction avec le principe de territorialité, qui se fonde sur le lieu de stockage des moyens de preuve et donc, dans le cas des données, sur le lieu physique de stockage, le Tribunal fédéral autorise un accès même en l'absence de consentement, et ce indépendamment de l'endroit où les données sont stockées au moment de l'accès ; ce qui est déterminant, c'est que les données puissent être consultées depuis la Suisse : "Celui qui utilise, par le biais d'un accès Internet situé en Suisse, un service Internet dérivé proposé par une entreprise étrangère n'agit pas à l'étranger. Même le simple fait que les données électroniques du service Internet dérivé en question soient gérées sur des serveurs (ou supports de stockage en nuage) à l'étranger ne permet pas de considérer une recherche en ligne effectuée depuis la Suisse conformément à la loi comme un acte d'instruction illicite sur le territoire étranger (au sens de la pratique exposée) [...]".
64 L'objet de l'évaluation était l'accès au compte Facebook d'une personne accusée de trafic qualifié de stupéfiants, dont les données d'accès avaient été rendues disponibles par les autorités de poursuite pénale. Le ministère public a alors fait examiner le compte Facebook en utilisant les données de connexion déterminées et a saisi des messages de discussion pertinents pour la preuve. Le lieu de stockage de ces données n'était pas - et n'est toujours pas - situé en Suisse. Dans l'arrêt cité, le Tribunal fédéral a retenu qu'il était possible d'accéder directement aux comptes de prévenus ou de tiers auprès de services Internet étrangers si les conditions générales d'une perquisition selon le CPP suisse sont remplies et si les enquêteurs agissent "à partir d'ordinateurs, de serveurs et d'infrastructures informatiques situés en Suisse", c'est-à-dire s'ils restent physiquement en Suisse.
65 La pratique a accueilli cette jurisprudence avec gratitude. Elle ne s'applique pas seulement à Facebook, mais à une multitude de services suisses et étrangers tels que les fournisseurs d'hébergement, les services de communication, les services de cloud computing, les fournisseurs d'externalisation de données, les forums de discussion, les plateformes d'échange de documents, les portails d'achat et les fournisseurs de services de messagerie. Les cryptoactifs détenus dans un hot wallet peuvent également être saisis (c'est-à-dire habituellement transférés sur un wallet de l'autorité de poursuite pénale) en application de cette jurisprudence. La jurisprudence du Tribunal fédéral prend également de plus en plus d'importance. La tendance générale pour les appareils électroniques est l'abandon du stockage individuel au profit de la sauvegarde dans le cloud. Aujourd'hui, les téléphones portables en particulier sont souvent utilisés par les utilisateurs pour différents services uniquement comme "clés", les données concernées n'étant plus stockées sur l'appareil physique. Si un téléphone portable ou une tablette est saisi lors d'une perquisition ou d'une arrestation par la police et qu'il s'avère que les données ne sont pas stockées sur l'appareil, mais dans le cloud, ou si des applications de services de communication ou de fournisseurs de messagerie web se trouvent sur l'appareil, toutes ces données peuvent être saisies sur la base de la jurisprudence du Tribunal fédéral. Cette procédure est facilitée dans la pratique par le fait que les utilisateurs, pour des raisons de commodité, enregistrent souvent leurs données de connexion aux services Internet dans le gestionnaire de mots de passe ou dans un navigateur Internet, ou utilisent le même mot de passe pour différents services. De même, lors de perquisitions dans des entreprises, on constate de plus en plus souvent que celles-ci n'hébergent ou ne stockent plus elles-mêmes leurs données au siège ou au lieu de la direction, mais qu'elles ont externalisé le traitement et la conservation des données à des prestataires de services externes. Dans de telles situations, l'arrêt du Tribunal fédéral cité est également utile, car il autorise également la sauvegarde des données dans de tels cas.
66 Dans l'arrêt cité, le Tribunal fédéral a implicitement invoqué le "principe d'accès". Selon ce principe, pour les données informatiques, on ne se base pas sur l'emplacement du support de données sur lequel les informations sont enregistrées, mais sur la personne qui a accès aux données importantes pour la procédure et à partir de quel endroit. La maîtrise des données revient à la personne qui dispose de l'autorisation d'accès et non à celle qui est physiquement en possession du support de données. C'est ce qu'avancent certains auteurs pour justifier le fait que la perquisition et la saisie en Suisse de données enregistrées à l'étranger par les autorités suisses ne constituent pas une violation de la souveraineté. En d'autres termes, l'admissibilité de l'accès en ligne doit dépendre uniquement de la légalité de l'acte d'enquête national.
67 Or, si l'on accède à des sources étrangères non accessibles au public, notamment protégées par un mot de passe ou par d'autres barrières, cela a des répercussions importantes sur le territoire étranger ("numérique"). C'est pourquoi l'accès par les autorités d'enquête à des données à l'étranger est considéré à plusieurs reprises comme une atteinte à la souveraineté de l'État concerné ; de tels moyens de preuve ne peuvent être obtenus que par le biais de l'entraide judiciaire internationale ou par voie directe, uniquement si les conventions internationales le prévoient explicitement. En effet, le principe d'accès ne change rien aux effets des accès en ligne de l'État sur la souveraineté étrangère, où se produit le véritable succès de la mesure. Certes, l'absence d'intervention physique des fonctionnaires sur le territoire étranger ne devrait pas encore dépasser les limites fixées par l'article 299 CP. Toutefois, en ce qui concerne l'intensité de l'intervention, elle ne cède en rien aux activités d'enquête physiques équivalentes (la fouille du support de données à l'étranger par des fonctionnaires suisses), qui seraient clairement inadmissibles. De plus, la consultation en ligne déclenche des processus de traitement des données à l'étranger ; l'accès laisse des traces compréhensibles dans l'État cible. Le fonctionnaire chargé de l'enquête peut, dans le pire des cas et en fonction de la législation nationale, se rendre coupable d'intrusion non autorisée dans un système de traitement des données, de collecte non autorisée de données ou de non-respect de la souveraineté étrangère. Les enregistrements numériques de preuves effectués depuis la Suisse sont en outre clandestins pour l'État étranger, ce qui les rend encore plus dangereux de son point de vue - au vu des récents scandales des services de renseignement. Il est remarquable que, selon une étude de l'ONU, le droit national de divers Etats autorise malgré tout une sorte d'accès direct aux données enregistrées à l'étranger, alors que, selon la même étude, la part des Etats qui autorisent un tel accès direct par les autorités de poursuite pénale étrangères est nettement plus faible. Le sens du droit international semble donc être plus grand lorsque la souveraineté nationale est en jeu que lorsque l'on dépend soi-même de l'obtention de preuves à l'étranger. Quoi qu'il en soit, la convention sur la cybercriminalité autorise déjà de manière limitée l'accès direct aux données étrangères à l'art. 32 CCC ; une collecte de preuves allant au-delà - du moins dans les relations entre les États signataires - doit être considérée a contrario comme une atteinte à la souveraineté de l'État. Ce n'est pas pour rien que le Conseil de l'Europe a expressément prévu l'article 31 CCC subsidiaire intitulé "Entraide judiciaire pour l'accès aux données enregistrées". Une proposition présentée par des États membres de l'UE dans le cadre des négociations, selon laquelle une perquisition en ligne transnationale devrait être autorisée en cas d'urgence, n'a pas été reprise - on a renoncé à régler de telles situations faute de consensus. Les efforts repris depuis lors sont restés largement infructueux jusqu'à présent ; le 2e protocole additionnel à la CCC n'est pas non plus un grand succès à cet égard. L'accès transnational direct aux données sans le consentement d'une personne autorisée n'est donc toujours pas couvert par un consensus international, viole la souveraineté de l'État concerné et est donc contraire au droit international tant que les conventions bi- ou multilatérales actuelles n'ont pas évolué.
68 Ce résultat n'est pas satisfaisant. Premièrement, précisément lorsqu'il existe un risque de perte des données sans action immédiate. Il est donc envisageable, dans des situations exceptionnelles, d'autoriser la conservation provisoire de données au niveau transnational en cas de risque de collusion ou de perte de preuves, lorsque même une "Preservation Request" au sens de l'article 29 CCC interviendrait trop tard. Dans ce cas, les données sauvegardées devraient être conservées séparément et ne pourraient pas encore être fouillées tant que l'État contractant concerné n'aurait pas demandé une autorisation ultérieure. Deuxièmement, la critique ci-dessus part du principe qu'au moment de l'accès, les autorités de poursuite pénale ont une connaissance positive du fait que les données ne sont pas stockées dans leur propre pays. Or, il n'est souvent pas clair d'emblée où les données sont stockées, que ce soit localement sur l'appareil ou dans le nuage. Dans ces cas également, une conservation des preuves, éventuellement suivie d'une demande d'entraide judiciaire en cas de lien avec l'étranger constaté a posteriori, doit être autorisée (cf. ci-dessus, n. 23).
V. Conséquences de la violation du droit à la souveraineté étrangère
69 Si les compétences de la CCC sont outrepassées, si l'entraide judiciaire en matière pénale est contournée par l'accès direct à des supports de données étrangers et si le principe de territorialité ou de souveraineté est ainsi violé, la question de l'inexploitabilité des moyens de preuve ainsi obtenus se pose. Le contournement de la voie de l'entraide judiciaire peut en principe être dénoncé dans le cadre du procès pénal national.
70 Jusqu'à présent, les tribunaux cantonaux se sont prononcés en faveur d'une interdiction relative d'exploitation au sens de l'art. 141 al. 2 CPP, ce qui permet d'exploiter les preuves concernées dans la mesure où elles sont nécessaires pour élucider une infraction grave. On peut se demander si le principe de territorialité du droit international public et l'exigence d'emprunter la voie de l'entraide judiciaire doivent être considérés comme de simples règles de validité ou si, au vu de leur importance, il ne faut pas plutôt partir du principe d'une interdiction absolue d'exploiter les preuves (par exemple sous la forme d'une violation de l'ordre public). Le Tribunal fédéral a statué dans ce sens lorsqu'il a considéré qu'une mesure de surveillance secrète (tracker GPS et appareils d'écoute dans un véhicule avec lequel des trajets à l'étranger avaient également été effectués) était absolument inexploitable en ce qui concerne les trajets à l'étranger. Il semble toutefois possible et judicieux de reprendre le point de vue défendu en Allemagne, selon lequel la question de l'exploitabilité dépend du fait de savoir si l'enquêteur s'est rendu compte, au moment de la collecte des données, que l'accès ne serait pas conforme au droit international. S'il n'en était pas conscient, il doit avoir la possibilité de faire exécuter une procédure formelle d'entraide judiciaire ultérieure (au sens d'une procédure d'autorisation) pour les moyens de preuve (obtenus objectivement de manière illégale), afin d'éviter l'inutilisabilité des preuves.
71 Cette dernière disposition s'applique notamment aux cas où l'on ne sait pas d'emblée où les données sont stockées : Si un lieu de stockage sur le territoire national ne peut être exclu, l'accès doit être autorisé pour la conservation des preuves ; une connaissance positive du lieu de stockage n'est pas une condition préalable. "La seule possibilité d'un emplacement à l'étranger ne peut pas déclencher une obligation d'entraide judiciaire, d'autant plus que dans ces cas, il n'est pas possible de déterminer quel pays sera réellement concerné". S'il devait s'avérer par la suite (par exemple suite à des plaintes de la défense) que les données saisies n'étaient pas stockées sur le territoire national ni dans un État contractant, une autorisation ultérieure devra être demandée à l'État concerné par le biais de l'entraide judiciaire.
VI. Nécessité d'une réforme
72 Le Conseil de l'Europe a reconnu très tôt la nécessité d'assouplir les principes territoriaux en raison de l'évolution technologique et a édicté à l'article 32 CCC une réglementation progressiste par rapport aux conventions d'entraide judiciaire traditionnelles. Les idées poursuivies plus loin étaient aussi visionnaires qu'elles n'étaient pas (encore) susceptibles de réunir une majorité en raison de l'idée de souveraineté fortement ancrée. Si la communauté internationale souhaite une poursuite pénale efficace, capable d'assumer ses tâches au 21e siècle également, il semble nécessaire et judicieux de renoncer entièrement à la souveraineté en matière de données en réseau. En effet, il ne s'agit plus seulement de la criminalité transfrontalière, qui a toujours été difficile à appréhender pour les autorités nationales de poursuite pénale, mais aussi de faits purement internes qui, en raison du déplacement des moyens de preuve au-delà des frontières nationales, ne pourront bientôt plus être élucidés, et encore moins avec un rapport coût-utilité approprié.
73 Il faut admettre qu'il semble plus prometteur de cuire des petits pains dans un premier temps : premièrement, la Suisse doit signer et ratifier le 2e protocole additionnel à la CCC le plus rapidement possible, même s'il ne s'agit pas d'un grand projet. Deuxièmement, on aurait déjà fait beaucoup si, dans le contexte de l'art. 32 let. b CCC, on suivait la réalité juridique et si l'on ne se référait plus seulement au lieu de stockage, mais plutôt (aussi) au siège de la personne ayant un droit d'accès ou au fait qu'une entreprise offre ses services dans l'Etat concerné (cf. ci-dessus, n. 25). Troisièmement, la Suisse devrait s'efforcer de s'associer au système e-Evidence de l'UE (même si cela sera politiquement difficile à mettre en œuvre). Quatrièmement, les discussions récurrentes sur l'accès unilatéral aux données à l'étranger doivent être reprises et menées à terme. A l'avenir, il faudrait au moins considérer qu'un lieu d'accès en Suisse est suffisant pour que l'accès aux données ne soit plus considéré comme une atteinte à la souveraineté de l'Etat du lieu de stockage. Des mesures de protection et des garanties (p. ex. une obligation d'informer l'État concerné de l'accès, la nécessité d'une autorisation a posteriori, des exigences en matière d'État de droit et de respect des droits fondamentaux, etc.
Bibliographie
Abo Youssef Omar, Smartphone-User zwischen unbegrenzten Möglichkeiten und Überwachung, ZStrR 130 (2012), S. 92 ff.
Aepli Michael, Die strafprozessuale Sicherstellung von elektronisch gespeicherten Daten, Unter besonderer Berücksichtigung der Beweismittelbeschlagnahme am Beispiel des Kantons Zürich, Zürich 2004.
Bangerter Simon, Hausdurchsuchungen und Beschlagnahmen im Wettbewerbsrecht unter vergleichender Berücksichtigung der StPO, Zürich 2014.
Bär Wolfgang, Transnationaler Zugriff auf Computerdaten, ZIS 2 (2011), S. 53 ff., abrufbar unter https://www.zis-online.com/dat/artikel/2011_2_525.pdf, besucht am 17.10.2023.
Biaggini Elena, Strafrechtlicher Schutz des E-Mail-Verkehrs post mortem?, sui generis 2021, S. 321 ff., abrufbar unter https://doi.org/10.21257/sg.196, besucht am 17.10.2023.
Bonnici Jeanne Pia Mifsud et al., The European Legal Framework on Electronic Evidence: Complex and in Need of Reform, in: Biasiotti Maria Angela/Bonnici Jeanne Pia Mifsud/Cannataci Joe/Turchi Fabrizio (Hrsg.), Handling and Exchanging Electronic Evidence Across Europe, 2018, S. 189 ff., abrufbar unter https://link.springer.com/chapter/10.1007/978-3-319-74872-6_11, besucht am 17.10.2023.
Bottinelli Nicolas, L’obtention par l’autorité pénale des données informatiques situées à l’étranger, AJP 2016, S. 1327 ff.
Brodowski Dominik, Der «Grundsatz der Verfügbarkeit» von Daten zwischen Staat und Unternehmen, ZIS 8-9/2012, S. 474 ff., abrufbar unter https://zis-online.com/dat/artikel/2012_8-9_703.pdf, besucht am 17.10.2023.
Brodowski Dominik/Eisenmenger Florian, Zugriff auf Cloud-Speicher und Internetdienste durch Ermittlungsbehörden, Sachliche und zeitliche Reichweite der «kleinen Online-Durchsuchung» nach § 110 Abs. 3 StPO, ZD 2014, S. 119 ff.
Burgermeister Daniel, Beweiserhebung in der Cloud, Luzern 2015, abrufbar unter https://www.unilu.ch/fileadmin/fakultaeten/rf/institute/staak/MAS_Forensics/dok/Masterarbeiten_MAS_5/Burgermeister_Daniel.pdf, besucht am 17.10.2023.
Capus Nadja, Strafrecht und Souveränität: Das Erfordernis der beidseitigen Strafbarkeit in der internationalen Rechtshilfe in Strafsachen, Basel 2010.
Cartner Anna/Schweingruber Sandra, Strafbehörden dürfen googeln, AJP 2021, S. 990 ff.
De Busser Els, Open Source Data and Criminal Investigations: Anything You Publish Can and Will Be Used Against You, Groningen Journal of International Law 2/2 (2014): Privacy in International Law, S. 90 ff., abrufbar unter https://www.researchgate.net/publication/328962642_Open_Source_Data_and_Criminal_Investigations_Anything_You_Publish_Can_and_Will_Be_Used_Against_You, besucht am 17.10.2023.
Dombrowski Nadine, Extraterritoriale Strafrechtsanwendung im Internet, Potsdam 2011/2012.
Donatsch Andreas/Lieber Viktor/Summers Sarah/Wohlers Wolfgang (Hrsg.), Schulthess Kommentar zur Schweizerischen Strafprozessordnung, 3. Aufl., Zürich 2020 (zit. SK-Bearbeiter/in, Art. … StPO N. …).
Eckert Martin, Digitale Daten als Wirtschaftsgut: digitale Daten als Sache, SJZ 112 (2016), S. 245 ff.
Forster Marc, Marksteine der Bundesgerichtspraxis zur strafprozessualen Überwachung des digitalen Fernmeldeverkehrs, in: Gschwend Lukas/Hettich Peter/Müller-Chen Markus/Schindler Benjamin/Wildhaber Isabelle (Hrsg.), Recht im digitalen Zeitalter, Festgabe Schweizerischer Juristentag 2015 in St. Gallen, Zürich/St. Gallen 2015, S. 613 ff.
Fröhlich-Bleuler Gianni, Eigentum an Daten?, Jusletter 6.3.2017.
Geiser Thomas/Wolf Stephan (Hrsg.), Basler Kommentar zum Zivilgesetzbuch II, Art. 457-977 ZGB, Art. 1-61 SchlT ZGB, 7. Aufl., Basel 2023 (zit. BSK-Bearbeiter/in, Art. ... ZGB N. …).
Gercke Björn, Straftaten und Strafverfolgung im Internet, GA 2012, S. 474 ff.
Glassey Ludwiczak Maria, Mesures de surveillance suisses et résultats obtenus à l’étranger, Remarques à propos de l’ATF 146 IV 36, forumpoenale 5 (2020), S. 410 ff.
Gless Sabine, Beweisverbote in Fällen mit Auslandsbezug, JR 2008, S. 317 ff.
Graf Damian K. (Hrsg.), Annotierter Kommentar zum Schweizerischen Strafgesetzbuch, Bern 2020 (zit. AK-Bearbeiter/in, Art. … StGB N. …).
Graf Damian K., Praxishandbuch zur Siegelung, StPO inklusive revidierter Bestimmungen – VStrR – IRSG – MStP, Bern 2022 (zit. Praxishandbuch).
Graf Damian K., Strafverfolgung 2.0: Direkter Zugriff auf im Ausland gespeicherte Daten?, Jusletter IT 21.9.2017 (zit. Strafverfolgung 2.0).
Graf Jürgen-Peter (Hrsg.), BeckOK StPO mit RiStBV und MiStra, 47. Edition, München, Stand: 1.1.2023 (zit. BeckOK-Bearbeiter/in, § … StPO N. …).
Grassle Christian/Hiéramente Mayeul, Praxisprobleme bei der IT-Durchsuchung, CB 2019, S. 191 ff.
Grave Carsten/Barth Christoph, Von «Dawn Raids» zu «eRaids», Zu den Befugnissen der Europäischen Kommission bei der Durchsuchung elektronischer Daten, EuZW 2013, S. 360 ff.
Hansjakob Thomas, Die Erhebung von Daten des Internetverkehrs – Bemerkungen zu BGer 6B_656/2015 vom 16.12.2016, forumpoenale 4 (2017), S. 252 ff.
Heimgartner Stefan, Die internationale Dimension von Internetstraffällen, in: Schwarzenegger Christian/Arter Oliver/Jörg Florian (Hrsg.), Internet-Recht und Strafrecht, Bern 2005, S. 117 ff. (zit. Internationale Dimension).
Heimgartner Stefan, Strafprozessuale Beschlagnahme, Wesen, Arten und Wirkungen, Zürich 2011 (zit. Strafprozessuale Beschlagnahme).
Hess-Odoni Urs, Die Herrschaftsrechte an Daten, Jusletter 17.5.2004.
Hiatt Keith, Open Source Evidence on Trial, 125 Yale Law Journal Forum (2016), S. 323 ff., abrufbar unter https://www.yalelawjournal.org/pdf/Hiatt_PDF_zxz3ufoz.pdf, besucht am 17.10.2023.
Hürlimann Daniel/Zech Herbert, Rechte an Daten, sui-generis 2016, S. 89 ff., abrufbar unter https://doi.org/10.21257/sg.27, besucht am 17.10.2023.
Karagiannis Christos/Vergidis Kostas, Digital Evidence and Cloud Forensics: Contemporary Legal Challenges and the Power of Disposal, Information 12 (2021), 181, S. 1 ff., abrufbar unter https://www.mdpi.com/2078-2489/12/5/181, besucht am 17.10.2023.
Knauer Christoph/Kudlich Hans/Schneider Hartmut (Hrsg.), Münchener Kommentar zur Strafprozessordnung, Band 1: §§ 1-150 StPO, 2. Aufl., München 2022 (zit. MK-Bearbeiter/in, § … StPO N. …).
Kohler Patrick, Rechte an Sachdaten, sic! 2020, S. 412 ff.
Largiadèr Albert, Vorladungen ins Ausland nur Einladungen?, forumpoenale 5 (2014), S. 293 f.
Marberth-Kubicki Annette, in: Auer-Reinsdorff Astrid/Conrad Isabell (Hrsg.), Handbuch IT- und Datenschutzrecht, 2. Aufl., München 2016.
Moreillon Laurent/Parein-Reymond Aude, Petit commentaire du Code de procédure pénale, 2. Aufl., Basel 2016.
Niggli Marcel Alexander/Wiprächtiger Hans (Hrsg.), Basler Kommentar zum Strafrecht II, 4. Aufl., Basel 2019 (zit. BSK-Bearbeiter/in, Art. … StGB N. …).
Niggli Marcel Alexander/Heer Marianne/Wiprächtiger Hans (Hrsg.), Basler Kommentar zur Strafprozessordnung/Jugendstrafprozessordnung, 3. Aufl., Basel 2023 (zit. BSK-Bearbeiter/in, Art. … StPO N. …).
Obenhaus Nils, Cloud Computing als neue Herausforderung für Strafverfolgungsbehörden und Rechtsanwaltschaft, NJW 2010, S. 651 ff.
Osula Anna-Maria, Remote search and seizure in domestic criminal procedure: Estonian case study, International Journal of Law and Information Technology 24 (2016), S. 343 ff.
Pfeffer Kristin, Die Regulierung des (grenzüberschreitenden) Zugangs zu elektronischen Beweismitteln, abrufbar unter https://eucrim.eu/articles/die-regulierung-des-grenzuberschreitenden-zugangs-zu-elektronischen-beweismitteln/, besucht am 17.10.2023.
Riedi Claudio, Auslandsbeweise und ihre Verwertung im schweizerischen Strafverfahren, Zürich 2018.
Roth Simon, Die grenzüberschreitende Edition von IP-Adressen und Bestandesdaten im Strafprozess, Direkter Zugriff oder Rechtshilfe?, Jusletter 17.8.2015.
Ryser Dominic, «Computer Forensics», Eine neue Herausforderung für das Strafprozessrecht, in: Schwarzenegger Christian/Arter Oliver/Jörg Florian (Hrsg.), Internet-Recht und Strafrecht, Bern 2005, S. 553 ff.
Sampson Fraser, Intelligence evidence: Using open source intelligence (OSINT) in criminal proceedings, The Police Journal 90(1) 2017, S. 55 ff.
Schmid Alain/Schmidt Kirsten Johanna/Zech Herbert (Hrsg.), Rechte an Daten – zum Stand der Diskussion, sic! 11/2018, S. 627 ff.
Schmid Niklaus, Strafprozessuale Fragen im Zusammenhang mit Computerdelikten und neuen Informationstechnologien im allgemeinen, ZStrR 111 (1993), S. 81 ff.
Schomburg Wolfgang/Lagodny Otto (Hrsg.), Internationale Rechtshilfe in Strafsachen, Beck’scher Kurz-Kommentar, 6. Aufl., München 2020 (zit. Schomburg/Lagodny-Bearbeiter/in).
Schweingruber Sandra, Cybercrime-Strafverfolgung im Konflikt mit dem Territorialitätsprinzip, Jusletter 10.11.2014.
Seger Alexander, «Grenzüberschreitender» Zugriff auf Daten im Rahmen der Budapest Konvention über Computerkriminalität, Praxisbericht zum Stand der Arbeiten des Europarats, Zeitschrift für öffentliches Recht 73 (2018), S. 71 ff.
Seitz Nicolai, Transborder Search: A New Perspective in Law Enforcement?, Yale Journal of Law & Technology 2004-2005, S. 24 ff., abrufbar unter https://yjolt.org/transborder-search-new-perspective-law-enforcement, besucht am 17.10.2023.
Singelnstein Tobias, Möglichkeiten und Grenzen neuerer strafprozessualer Ermittlungsmassnahmen – Telekommunikation, Web 2.0, Datenbeschlagnahme, polizeiliche Datenverarbeitung & Co., NStZ 2012, S. 593 ff.
Svantesson Dan, Preliminary Report: Law Enforcement Cross-Border Access to Data, 12.11.2016, abrufbar unter https://ssrn.com/abstract=2874238, besucht am 17.10.2023.
Unseld Lea, Internationale Rechtshilfe im Steuerrecht, Akzessorische Rechtshilfe, Auslieferung und Vollstreckungshilfe bei Fiskaldelikten, Zürich 2011.
Velasco Cristos, Cybercrime jurisdiction: past, present, future, ERA Forum (2015) 16, S. 331 ff., abrufbar unter https://rm.coe.int/16806b8a7a, besucht am 17.10.2023.
Wabnitz Heinz-Bernd/Janovsky Thomas (Hrsg.), Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Aufl., München 2014 (zit. Wabnitz/Janovsky-Bearbeiter/in).
Walden Ian, Accessing Data in the Cloud: The Long Arm of the Law Enforcement Agent, Queen Mary School of Law Legal Studies Research Paper No. 7 (2011), abrufbar unter https://papers.ssrn.com/abstract=1781067, besucht am 17.10.2023.
Walder Stephan, Grenzüberschreitende Datenerhebung: Ist und Soll, Kriminalistik 8-9/2019, S. 540 ff.
Weber Amalie M., The Council of Europe’s Convention on Cybercrime, Berkeley Technology Law Journal 18 (2003), S. 425 ff., abrufbar unter https://lawcat.berkeley.edu/record/1118718, besucht am 17.10.2023.
Wicker Magda, Durchsuchung in der Cloud, Nutzung von Cloud-Speichern und der strafprozessuale Zugriff deutscher Ermittlungsbehörden, MMR 2013, S. 765 ff.
Zerbes Ingeborg/El-Ghazi Mohamad, Zugriff auf Computer: Von der gegenständlichen zur virtuellen Durchsuchung, NStZ 2015, S. 425 ff.
Matériaux
Botschaft des Bundesrates an die Bundesversammlung zu einem Bundesgesetz über internationale Rechtshilfe in Strafsachen und einem Bundesbeschluss über Vorbehalte zum Europäischen Auslieferungsübereinkommen vom 8.3.1976, BBl 1976 II 444 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1976/2_444_430_443/de, besucht am 17.10.2023.
Botschaft über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität vom 18.6.2010, BBl 2010 4697 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2010/813/de, besucht am 17.10.2023.
Botschaft zum Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) vom 27.2.2013, BBl 2013 2683 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2013/512/de, besucht am 17.10.2023.
Botschaft zur Vereinheitlichung des Strafprozessrechts vom 21.12.2005, BBl 2006 1085 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2006/124/de, besucht am 17.10.2023.
Bundesamt für Justiz, Zusammenfassung der Ergebnisse des Vernehmlassungsverfahrens zum erläuternden Bericht und zum Vorentwurf über die Änderung des Schweizerischen Strafgesetzbuches und des Rechtshilfegesetzes, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Bern, 10.4.2010, abrufbar unter https://www.bj.admin.ch/bj/de/home/sicherheit/gesetzgebung/archiv/cybercrime-europarat.html, besucht am 17.10.2023.
Europäische Union, Common Position of 27 May 1999 adopted by the Council on the basis of Article 34 of the Treaty on European Union, on negotiations relating to the Draft Convention on Cyber Crime held in the Council of Europe, Official Journal of the European Communities, L 142/1 vom 5.6.1999, abrufbar unter https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1999:142:0001:0002:EN:PDF, besucht am 17.10.2023.
Europarat, Cybercrime Convention Committee (T-CY), The Budapest Convention on Cybercrime: benefits and impact in practice, Strassburg, 13.7.2020, abrufbar unter https://rm.coe.int/t-cy-2020-16-bc-benefits-rep-provisional/16809ef6ac, besucht am 17.10.2023 (zit. T-CY, Benefits).
Europarat, Cybercrime Convention Committee (T-CY), T-CY Guidance Note # 3, Transborder access to data (Article 32), Strassburg, 3.12.2014, abrufbar unter https://www.ccdcoe.org/uploads/2019/09/CoE-141203-Guidance-Note-on-Transbprder-access-to-data.pdf, besucht am 17.10.2023 (zit. T-CY Guidance Note # 3).
Europarat, Cybercrime Convention Committee (T-CY), Ad-hoc Sub-group on Jurisdiction and Transborder Access to Data, Transborder Access and jurisdiction: What are the options?, Strassburg, 6.12.2012, abrufbar unter https://rm.coe.int/16802e79e8, besucht am 17.10.2023 (zit. T-CY, Transborder Access).
Europarat, Cybercrime Convention Committee (T-CY), T-CY Cloud Evidence Group, Criminal justice access to electronic evidence in the cloud: Recommendations for consideration by the T-CY, Final report, Strassburg, 16.9.2016, abrufbar unter https://rm.coe.int/16806a495e, besucht am 17.10.2023 (zit. T-CY, Cloud).
Europarat, Cybercrime Convention Committee (T-CY), T-CY assessment report: The mutual legal assistance provisions of the Budapest Convention on Cybercrime, Strassburg, 3.12.2014, abrufbar unter https://rm.coe.int/16802e726c, besucht am 17.10.2023 (zit. T-CY, Assessment Report).
Europarat, Draft Explanatory Memorandum Regarding on Draft Recommendation No. R (95) Concerning Problems of Criminal Procedural Law Connected with Information Technology vom 31.7.1995 (zit. Explanatory Memorandum).
Europarat, Economic Crime Division, Project on Cybercrime, Cloud Computing and cybercrime investigations: Territoriality vs. the power of disposal?, Discussion Paper, Strassburg, 31.8.2010, abrufbar unter https://rm.coe.int/16802fa3df, besucht am 17.10.2023 (zit. Economic Crime Division).
Europarat, Explanatory Report to the Convention on Cybercrime, Budapest, 23.11.2001, abrufbar unter https://rm.coe.int/16800cce5b, besucht am 17.10.2023 (zit. Explanatory Report).
United Nations, Ad Hoc Committee to Elaborate a Comprehensive International Convention on Countering the Use of Information and Communication Technologies for Criminal Purposes, Consolidated negotiating document on the general provisions and the provisions on criminalization and on procedural measures and law enforcement of a comprehensive international convention on countering the use of information and communications technologies for criminal purposes vom 21.1.2023, abrufbar unter https://www.unodc.org/documents/Cybercrime/AdHocCommittee/4th_Session/Documents/CND_21.01.2023_-_Copy.pdf, besucht am 17.10.2023 (zit. United Nations, Consolidated Negotiating Document).
United Nations, Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, Note by the Secretary-General vom 24.6.2013, UN Doc A/68/98, abrufbar unter https://documents-dds-ny.un.org/doc/UNDOC/GEN/N13/371/66/PDF/N1337166.pdf, besucht am 17.10.2023 (zit. Developments).
United Nations Office on Drugs and Crime (UNODC), Comprehensive Study on Cybercrime, Draft February 2013, abrufbar unter https://www.unodc.org/documents/organized-crime/UNODC_CCPCJ_EG.4_2013/CYBERCRIME_STUDY_210213.pdf, besucht am 17.10.2023 (zit. UNODC).