Le circuit classique
Dans les faits, l’affaire Protonmail ne saurait être considérée comme gémellaire aux préoccupations de notre gouvernement sur la réglementation états-unienne. Certes, on parle dans les deux cas des possibilités octroyées (ou pas) aux autorités judiciaires d’investiguer, i.e. d’accéder à des données électroniques localisées hors de leurs territoires – mais il est ici question d’une transmission d’informations entre autorités nationales. Sur injonction du Département fédéral de justice et police, Protonmail a suivi et extrait des données (adresse IP, fingerprints). Ce fournisseur d’accès internet1 (FAI), potentiellement coupable d’une erreur de communication marketing, a informé ses utilisateurs sur les réseaux sociaux qu’aucune journalisation des données n’était réalisée a priori. Cette déclaration était censée calmer le jeu: c’était compter sans l’effet boule de neige de la communication intragroupale. Crier au scandale reviendrait à omettre l’existence d’accords internationaux d’entraide en matière pénale2. Et de rappeler que l’accord franco-suisse ouvre aussi la voie d’une telle démarche «aux procédures visant des faits que la loi de l’un des deux Etats réprime d’une amende exclusivement, s’il est possible, tout au moins dans l’un des deux Etats, de porter l’affaire devant un tribunal compétent en matière pénale» (cf. art. 1 al. 1 let. b de l’accord précité). Nous sommes bien éloignés des limitations prévues par l’acte américain présenté ci dessous…
Recyclage à l’américaine
L’Administration américaine n’a fait que répondre aux craintes du Congrès en pondant l’US-Cloud Act3. Cette «nouvelle» réglementation correspond à la pratique appliquée jusqu’à l’affaire Microsoft, conforme à l’interprétation des juges du paragraphe 2703 SCA4. Il s’agit, tout au plus, d’une mise en forme comportant la mention expresse d’une possibilité pour les autorités chargées de l’instruction: réclamer des données électroniques à un FAI «siégeant» sur sol américain, même si ces potentielles preuves se trouvent dans une ferme de serveurs ou un centre de données sis à l’étranger. Sur ce point, la limitation aux seuls crimes graves (sous réserve de la définition dynamique de cette notion) de l’US-Cloud Act atténue fortement ses effets. Quant à savoir si d’autres Etats emboîteront le pas du Royaume-Uni en signant un accord bilatéral avec les Etats-Unis d’ici à la fin de l’année, difficile de faire des pronostics.
A l’aune des actes internationaux
La Suisse, à l’instar des Etats membres de l’Union européenne et des Etats-Unis, a ratifié la Convention de Budapest sur la cybercriminalité le 21 septembre 2011. L’article 18 de la Convention5 donne mandat aux Etats parties d’adopter des mesures: l’objectif étant de permettre aux autorités judiciaires nationales d’obtenir des preuves numériques de leur dépositaire, résidant sur leur territoire.
Au sein de l’Union européenne, la fluidification de l’obtention des preuves électroniques est en cours de réalisation sous la forme d’une directive6 et d’un règlement7. Il suffira ici de citer quelques objectifs de la Commission européenne: création d’une injonction de production ou de conservation de preuves numériques à l’échelon européen et mise en œuvre de garanties procédurales. Sur ce point, l’application du respect du droit d’être entendu laisse songeur, vu les délais de transmission extrêmement courts (de six heures dans les cas urgents à dix jours).
L’OFJ et le US-Cloud Act
Tel que relevé plus haut, la Suisse s’est aussi penchée sur la question en publiant un rapport en date du 17 septembre 2021. L’éventualité de la ratification d’un accord bilatéral avec les Etats-Unis reste éloignée malgré les enjeux majeurs: la quasi-intégralité des sociétés gérant des «clouds» se trouvent aux Etats-Unis. Le rapport dresse deux constats. Du point de vue de la protection des données d’abord, la compatibilité avec les droits suisses et européens ne saurait être admise qu’à titre exceptionnel. Ensuite, l’application d’un éventuel accord contreviendrait aux principes de droit procédural, notamment au droit d’être entendu. Nous ne manquerons pas d’ajouter la potentielle violation de l’article 143bis du Code pénal. Affaire à suivre: des débats houleux s’ensuivront et la Suisse devra, bon an, mal an, se mettre au diapason international.
1 Pour des raisons linguistiques, le terme FAI sera utilisé pour désigner un CSP (cloud service provider), un IAP (internet access provider) et un ISP (internet service provider).
2 Convention européenne d’entraide judiciaire en matière pénale du 20 avril 1959 (RS 0.351.1) et Accord entre le Conseil fédéral suisse et le Gouvernement de la République française en vue de compléter la Convention européenne d’entraide judiciaire en matière pénale, du 20 avril 1959 (RS 0.351.934.92)
3 Cf. Livre blanc publié par l’US. Department of Justice: DOJ Cloud Act (justice.gov)
4 Stored Communication Act.
5 Cf. note explicative du Conseil de l’Europe sur l’article 18: 16806f943e (coe.int), le 28.09.2021.
6 Proposition de Directive établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale.
7 Proposition de Règlement relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale.
