-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
I. Introduction
1 Figurant au chapitre III de la Convention sur la Cybercriminalité
2 La CCC reconnait l’importance de pouvoir procéder à l’interception de données relatives au contenu pour les besoins de procédures pénales nationales (art. 21 CCC) : la collecte de données relative au contenu des télécommunications a toujours été un instrument d’enquête utile pour déterminer si la communication a un caractère illégal et pour apporter la preuve d’infractions passées ou futures. Les communications informatiques peuvent constituer ou prouver le même type d’infraction, tout en offrant de plus vastes possibilités grâce à la transmission de grandes quantités de données (texte, images et son). Il n'est pas possible de déterminer en temps réel la nature préjudiciable et illégale de ces communications sans intercepter le contenu du message. Si elles ne pouvaient pas établir et prévenir la commission d'infractions au moment où elles ont eu lieu, les autorités chargées de l'application de la loi en seraient réduites à enquêter sur des infractions révolues, dans le cas desquelles le préjudice a déjà été causé. Il en découle que l'interception en temps réel des données relatives au contenu des communications informatiques est au moins, sinon plus importante que l'interception en temps réel des télécommunications
3 Toutefois, l’art. 34 CCC ne fait aucune obligation aux Etats parties d’être en mesure de coopérer dans la collecte transfrontalière de ces données ; tout au plus le Rapport explicatif du Conseil de l’Europe renvoie-t-il aux bonnes pratiques figurant dans la Recommandation de 1985 relative à l’application de la CEEJ à la surveillance des télécommunications
II. Notions
4 L’art. 34 CCC prévoit que les Parties s’accordent l’entraide dans ce cadre « dans la mesure permise par leurs traités et lois internes applicables ». Contrairement à ce qui prévaut à l’art. 33 CCC en matière de données relatives au trafic informatique, l’art. 34 CCC n’impose strictement aucune obligation de la part des Etats parties s’agissant de l’entraide en matière d’interception de données relatives au contenu des communications informatiques. La décision de s’en remettre aux régimes et législations internes est justifiée par le caractère très intrusif de l’interception et à une pratique de l’entraide en la matière alors encore à ses débuts
5 La notion de « données relatives au contenu » n’est pas définie dans la Convention. Elle désigne le contenu informatif de la communication, c'est-à-dire le sens de la communication ou le message ou l'information transmis par la communication (autre que les données relatives au trafic)
6 L’art. 34 CCC couvre « l’interception en temps réel », notion qui s’oppose à la perquisition de données enregistrées, respectivement stockées sur un support informatique (serveur, cloud, ou autre). Cette temporalité directe implique l’absence de prise sur ces données par la personne surveillée. En d’autres termes, celle-ci ne dispose pas de la possibilité de les supprimer avant leur interception. L’« interception » de ces données intervient en principe auprès d’un fournisseur tiers (fournisseurs internet et/ou de téléphonie, fournisseurs de services de communication dérivés [ci-après : FSCD], tels que les sociétés gérant des applications de communication). A notre sens, l’art. 34 CCC ne couvre en particulier pas l’interception de données relatives au contenu directement auprès du suspect de l’enquête au moyen d’un logiciel de type Cheval de Troie (Govware)
7 La disposition prévoit que l’entraide est accordée pour la « collecte ou l’enregistrement » en temps réel des données. A notre sens, bien que la distinction entre ces deux termes semble incertaine
8 Les données interceptées doivent être liées à des « communications spécifiques ». Il faut comprendre par ce terme que la Convention ne requiert ni n’autorise la surveillance et la collecte générales ou systématiques de quantité importantes de données relatives au contenu (surveillance de masse). Elle n'autorise pas non plus les « missions exploratoires » (« fishing expedition ») à la faveur desquelles on espère découvrir des activités criminelles, situation très différente des enquêtes ouvertes sur des cas précis d'agissements illicites
9 Enfin, la Convention ne s’applique pas en tant que telle aux télécommunications classiques (téléphonie analogique) puisque les données doivent être transmises au moyen d’un système informatique. L’avènement de la téléphonique numérique et plus généralement la convergence des technologies des télécommunications brouille néanmoins les distinctions entre télécommunications et téléinformatique et les spécificités de leurs infrastructures. Ainsi la Convention – notamment les art. 21 et 34 CCC - s'applique à des communications spécifiées transmises au moyen d'un système informatique, la communication pouvant être transmise par le biais d'un réseau de télécommunications avant d'être reçue par un autre système informatique
III. Mise en œuvre en droit suisse
A. L’interception des données relatives au contenu en droit suisse
10 Si l’art. 33 CCC a été à l’origine de l’introduction de l’art. 18b EIMP permettant une transmission anticipée (c’est-à-dire avant l’entrée en force d’une décision de clôture) des données relatives au trafic informatique à l’autorité requérante, l’art. 34 CCC n’a engendré – directement du moins - aucune modification de la législation suisse en matière d’interception de données relatives au contenu. Ce sont ainsi, et sous quelques réserves, les règles usuelles de la procédure pénale suisse qui s’appliquent (art. 269 ss CPP) par renvoi de l’art. 18a EIMP.
11 L’art. 18a EIMP est la disposition topique relative à la surveillance de la correspondance par poste et télécommunication en matière d’entraide judiciaire. Il en ressort en substance que sur demande expresse d’une autorité requérante
12 Dans les faits, après être entrée en matière (art. 80a EIMP), l’autorité d’exécution ordonnera la mesure de surveillance par l’intermédiaire du Service Surveillance de la correspondance par poste et télécommunication (ci-après : Service SCPT ; art. 269 CPP en lien avec les art. 55 ss OSCPT
13 L’autorité d’exécution devra ensuite faire autoriser la mesure par le Tribunal des mesures de contrainte dans les 24 heures à compter de l’ordre (art. 274 al. 1 CPP). A noter que, s’agissant de la condition, posée à l’art. 269 al. 1 let. a CPP, de l’existence d’un « grave soupçon », le Tribunal fédéral a rappelé à juste titre que selon les règles sur l'entraide judiciaire et la jurisprudence constante, les art. 14 CEEJ
14 Le Tribunal des mesures de contrainte statue dans les cinq jours (art. 274 al. 2 CPP). En cas de refus de la surveillance, les documents et enregistrements collectés doivent être immédiatement détruits (art. 277 al. 1 CPP). Si l’autorisation est accordée, il faut relever que l’art. 279 CPP prévoyant la communication au prévenu ou au tiers objet de la surveillance et aménageant un droit de recours à ces derniers ainsi qu’au service de télécommunication surveillé (art. 279 al. 3 CPP) ne trouve pas application, malgré le renvoi de l’art. 18a al. 4 EIMP aux art. 269 à 279 CPP. En effet, les conventions et lois applicables dans le domaine de l’entraide judiciaire internationale en matière pénale dérogent au système usuel du CPP qui ne trouve application que s’il est plus favorable à la coopération que ces conventions et lois applicables (principe de faveur)
15 A réception des données issues de la surveillance, l’autorité d’exécution devra garantir le droit d’être entendu de la personne touchée par la mesure de surveillance (art. 80b EIMP). On verra en effet que, s’agissant de données relatives au contenu, toute transmission anticipée, c’est-à-dire avant l’entrée en force d’une décision de clôture, est en principe exclue (cf. infra III.B.1.). Dès lors que la mesure de contrainte en question est par essence secrète, sa divulgation à la personne touchée peut se révéler lourde de conséquence pour la procédure à l’étranger. Il y a lieu de distinguer deux cas de figure :
1. Si la personne visée par la mesure n’est pas domiciliée en Suisse ou n’y a pas élu domicile, la décision de l’autorité n’a pas à lui être notifiée (art. 80m al. 1 EIMP). La décision de clôture ne sera ainsi notifiée qu’à l’OFJ (art. 80h let. a EIMP) ce qui permet une transmission à l’autorité requérant du résultat de la surveillance sans que la personne concernée n’en ait été effectivement informée. Bien entendu, si la personne concernée se manifeste auprès de l’autorité d’exécution en ayant élu domicile en Suisse avant l’entrée en force de la décision de clôture, son droit de participer à la procédure et d’accéder au dossier devra lui être garanti (art. 80b al. 1 en lien avec l’art. 80m al. 2 EIMP).
2. Si la personne visée par la mesure est domiciliée en Suisse ou y a élu domicile, l’autorité d’exécution devra lui garantir le droit de participer à la procédure et de consulter le dossier (art. 80b al. 1 EIMP ; sous réserve du cas particulier de l’utilisation d’une fausse identité, cf. infra III.B.3) avant toute transmission du moyen de preuve à l’étranger. Rien n’oblige néanmoins l’autorité requérante à octroyer ce droit à la personne concernée dès la fin de la mesure de surveillance. La mesure peut demeurer secrète aussi longtemps que nécessaire pour la procédure à l’étranger. Il s’agira pour l’autorité d’exécution de s’assurer auprès de l’autorité requérante du moment où l’existence de la mesure de surveillance peut être dévoilée pour permettre la poursuite de la procédure d’entraide.
16 A l’issue de la procédure, l’autorité d’exécution rendra une décision de clôture susceptible de recours au Tribunal pénal fédéral (art. 80e EIMP). Un recours subséquent au Tribunal fédéral demeure possible aux conditions restrictives de l’art. 84 LTF
B. Distinctions et cas particuliers
1. Transmission anticipée des données relatives au contenu ?
17 A certaines conditions, l’art. 18b EIMP permet la transmission anticipée – c’est-à-dire avant le prononcé d’une décision de clôture - de données relatives au trafic informatique recueillies en vertu d’un ordre de surveillance en temps réel qui a été autorisé. L’art. 18b EIMP constitue la mise en œuvre des obligations découlant de l’art. 33 CCC. S’agissant de données relatives au contenu néanmoins, le Tribunal fédéral a eu l’occasion de confirmer que l’art. 18b EIMP ne trouvait pas application et que par conséquent toute transmission anticipée, c’est-à-dire avant l’entrée en force d’une décision de clôture, est exclue sur la base de cette disposition
18 En 2021, le législateur a néanmoins introduit de nouvelles dispositions qui pallient en partie cet écueil et qui constituent un pas important vers des règles assouplies et une entraide plus rapide et réactive fondée sur la confiance internationale
19 Par ailleurs, une transmission anticipée de données relatives au contenu peut tout à fait intervenir dans le cadre et selon les règles d’une équipe commune d’enquête (ECE ; ou Joint Investigation Team, JIT ; art. 80dter à 80dduodecies EIMP). Dans ce cas, elle peut intervenir même si les conditions prévues à l’art. 80dbis al. 1 let. a et b ou al. 2 EIMP ne sont pas remplies
2. Distinction entre un ordre de dépôt (art. 265 CPP) et une mesure de surveillance (art. 269 ss CPP), en particulier s’agissant des boîtes de courriel
20 Le secret des télécommunications est une garantie constitutionnelle consacrée à l’art. 13 al. 1 Cst. Ce droit constitue un aspect essentiel du droit au respect de la vie privée. La surveillance de la correspondance ainsi que des relations établies par la poste et les télécommunications constituent une atteinte grave à ce droit fondamental
le premier critère déterminant est le rapport avec la correspondance par télécommunication ;
le second critère est celui de savoir si les données requises relèvent du droit fondamental au secret des télécommunications protégé par l’art. 13 al. 1 Cst.
21 La réunion des deux critères implique l’application de la LSCPT.
22 En pratique, la majorité des cas concernera l’accès au contenu des boîtes de courrier électronique (courriel, email). Pour distinguer les données couvertes par le secret des télécommunications des données pouvant être obtenues directement par l’autorité pénale (ordre de dépôt au sens de l’art. 265 CPP), le Tribunal fédéral a posé le critère du moment du dernier accès (connexion, log) du destinataire du courriel à sa boite aux lettres électronique
3. Utilisation d’une fausse identité
23 A notre sens, ne devrait pas se voir reconnaitre la qualité de partie à la procédure d’entraide celui qui, pour commettre une infraction, utilise un compte auprès d’une plateforme (application de messagerie, boîte de courriels, etc.) garantissant un degré élevé de confidentialité (type chiffrement des données de bout en bout [end-to-end encryption], parfois couplé d’un chiffrement de type zéro-accès [zero-access encryption], pas ou peu de données requises à l’enregistrement, etc.), rendant ainsi son identification pour les autorités pénales plus difficile. En effet, en l’absence de toute identification initiale, il n’existe que peu de moyens de vérifier que la personne qui prétend à cette qualité soit réellement l’utilisatrice de cette ressource
Les auteurs ont rédigé la présente contribution à titre personnel. Les appréciations et opinions présentées sont les leurs et n’engagent pas le Ministère public de la Confédération.
Bibliographie
Aepli Michael, commentaire de l’art. 18a EIMP, in : Niggli Marcel Alexander/Heimgartner Stefan (édit.), Basler Kommentar Internationales Strafrecht, 1ère édition, Bâle 2015.
Dangubic Miro/Clerc Yves, Art. 80dbis IRSG – ein Überblick, forumpoenale 4 (2022) p. 287-292.
Ludwiczak Glassey Maria/Bonzanigo Francesca, L’artificielle distinction entre « informations » et « moyens de preuve » en entraide pénale internationale, Revue Pénale Suisse 140 (2022) p. 402-427.
Ludwiczak Maria, L’entraide pénale internationale ‘dynamique’ en bref. Le projet, les débats, le compromis, Pratique juridique actuelle, 1 (2021) p. 71–75.
Zimmermann Robert, La coopération judiciaire internationale en matière pénale, 5e édition, Berne 2019.
Donatsch Andreas/Heimgartner Stefan/Meyer Frank/Simonek Madeleine, Internationale Rechtshilfe, 2e édition., Zurich et al. 2015.
Matériaux
Message concernant la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) du 27 février 2013, FF 2013 2379, consultable sous https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2013/512/fr/pdf-a/fedlex-data-admin-ch-eli-fga-2013-512-fr-pdf-a.pdf, consulté en janvier 2024 (cité : Message LSCPT).
Message relatif à l’approbation et à la mise en œuvre de la Convention du Conseil de l’Europe sur la cybercriminalité du 18 juin 2010, FF 2010 4275, consultable sous https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2010/813/fr/pdf-a/fedlex-data-admin-ch-eli-fga-2010-813-fr-pdf-a.pdf, consulté en janvier 2024 (cité : Message CCC).
Message relatif à l’arrêté fédéral portant approbation et mise en œuvre de la Convention du Conseil de l’Europe pour la prévention du terrorisme et de son Protocole additionnel et concernant le renforcement des normes pénales contre le terrorisme et le crime organisé, FF 2018 6469 ss, consultable sous https://www.fedlex.admin.ch/eli/fga/2018/2301/fr, consulté en janvier 2024 (cité : Message terrorisme).
Rapport explicatif de la Convention sur la cybercriminalité du 23 novembre 2001, Conseil de l’Europe, Série des traités européens – no 185, consultable sous https://rm.coe.int/16800ccea4, consulté en janvier 2024 (cité : Rapport explicatif du Conseil de l’Europe).
Rapport explicatif relatif à la révision totale de l’ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT; RS 780.11) du Service Surveillance de la correspondance par poste et télécommunication, consultable sous https://www.li.admin.ch/sites/default/files/2018-02/Rapport_explicatif_OSCPT.pdf, consulté en janvier 2024 (cité : Rapport explicatif OSCPT).
Recommandation n° R (85) 10 du Comité des Ministres aux États membres concernant l'application pratique de la convention européenne d'entraide judiciaire en matière pénale relative aux commissions rogatoires pour la surveillance des télécommunications du 28 juin 1985, consultable sous : https://rm.coe.int/09000016804e3071, consulté en janvier 2024 (cité : Recommandation no R (85) 10).