Preuves électroniques : état de la situation en Suisse face à l’avancée majeure du droit européen

• Date: 02 November 2023
• Author: Prof. Dr. iur Maria Ludwiczak Glassey
• DOI: https://doi.org/10.30709/eucrim-2023-017
• Pages: 98

I. Introduction

L’aboutissement, en juillet 2023, du projet e-Evidence représente un pas fondamental dans la modernisation de l’accès transfrontalier aux preuves électroniques au sein de l’Union européenne. En effet, l’adoption du Règlement (UE) 2023/1543 du 12 juillet 2023 relatif aux injonctions européennes de production et de conservation concernant les preuves électroniques dans le cadre des procédures pénales¹ (ci-après : Règlement e-Evidence) et de la Directive (UE) 2023/1544 du 12 juillet 2023 établissant des règles harmonisées concernant la désignation d’établissements désignés et de représentants légaux aux fins de l’obtention de preuves électroniques dans le cadre des procédures pénales² (ci-après : Directive e-Evidence) permet une adaptation de l’accès transfrontalier aux preuves, compte tenu de la nature dématérialisée des données. Cela crée une cohérence entre la nature des données et le processus à disposition des autorités de poursuite pénale des États membres de l’UE pour les obtenir.³

La présente contribution se propose de comparer, sur la base de quelques traits majeurs du système e-Evidence, la solution novatrice retenue dans l’Union véhiculée par le système e-Evidence et le droit suisse applicable en l’état à la matière :⁴ la surveillance de la correspondance par télécommunications relevant du droit de la procédure pénale suisse, c'est-à-dire les art. 269 ss CPP⁵ et la LSCPT⁶.

Afin de limiter le champ de la contribution, ne sera abordée que la question de la production des preuves électroniques par le biais de l’injonction européenne de production (European Production Order, EPO), celle portant sur la conservation étant mise de côté. Par ailleurs, ne sera pas traitée la question de la surveillance en temps réel, celle-ci ne faisant pas partie du champ du système e-Evidence (art. 3 par. 8 Règlement e-Evidence : « données […] stockées par un fournisseur […] au moment de la réception d’un certificat »). Finalement, nous nous concentrerons sur les données électroniques requises au titre de moyens de preuve dans le cadre d’une procédure pénale en cours et pas pour l’exécution d’une sanction déjà prononcée, bien que ces cas de figure soient également couverts par le système e-Evidence (voir déjà l’intitulé du Règlement e-Evidence).

II. Quelques points de comparaison

Seront développés dans les lignes qui suivent quelques aspects essentiels du système e-Evidence permettant d’opérer une comparaison, non exhaustive, avec le droit suisse actuellement en vigueur régissant la transmission des preuves en format numérique pour les besoins d’une procédure pénale. Ainsi, seront traités tour à tour le type de données concernées et leur lieu de stockage physique (1.), la détermination du fournisseur de services astreint à l’obligation de fournir les données et la portée extraterritoriale de cette obligation (2.), le seuil de gravité des faits à partir duquel le système est applicable (3.), les modalités de contact avec le fournisseur de services (4.) et l’étendue de l’obligation de fournir les données (5.).

1. Données concernées et lieu de stockage

Le système e-Evidence concerne les « preuves électroniques », par quoi il faut entendre les données relatives aux abonnés, au trafic et au contenu stockées sous une forme numérique par un fournisseur de services ou pour le compte d’un tel fournisseur (art. 3 par. 8 Règlement e-Evidence). Les données relatives aux abonnés sont celles concernant l’identité d’un abonné ou d’un client (nom, date de naissance, adresse), les données de facturation et de paiement, le numéro de téléphone et l’adresse électronique fournis, mais aussi notamment les données relatives au type de service et à sa durée (art. 3 par. 9 Règlement e-Evidence). Certaines données, tels les adresses IP et les ports de provenance et l’horodatage pertinents, peuvent être demandées à la seule fin d’identifier l’utilisateur (art. 3 par. 10 Règlement e-Evidence) et seront alors assimilées aux données relatives aux abonnés. Les données relatives au trafic sont celles qui concernent la fourniture d’un service proposé par le fournisseur, tels par exemple la source et la destination d’un message, la date, l’heure, la durée, la taille, le routage, le format, le protocole utilisé, le type de compression, etc. (art. 3 par. 11 Règlement e-Evidence). Finalement, les données relatives au contenu sont toutes les données dans un format numérique (texte, voix, vidéos, images et son) qui ne sont relatives ni aux abonnés ni au trafic (art. 3 par. 12 Règlement e-Evidence). Selon le type de données, des régimes différenciés sont prévus, notamment en fonction du seuil de gravité des faits et s’agissant de la question de savoir si l’intervention d’une autorité judiciaire est nécessaire (infra II.3. et II.4.b).

Le droit suisse établit également une distinction entre les types de données concernées, mais ne connait que deux catégories, à savoir les données relatives au contenu, d’une part, et les données dites secondaires (ou métadonnées) visant l’identification, la localisation et les caractéristiques techniques de la correspondance⁷, d’autre part. Les données secondaires au sens du droit suisse regroupent ainsi les données relatives aux abonnés, les données demandées à la seule fin d’identifier l’utilisateur et les données relatives au trafic désignées par le système e-Evidence. Les différences entre les régimes applicables sont moindres qu’en droit européen (infra II.3. et II.4.b).

Le système e-Evidence se caractérise par l’abandon du critère de la localisation des données. En d’autres termes, le lieu de stockage physique, c'est-à-dire l’endroit où se trouve le data center où les données sont enregistrées, n’est pas pertinent. Ainsi, que les données soient physiquement stockées dans un (ou plusieurs) État(s) de l’UE ou dans un État tiers n’a aucune pertinence. De même, le droit de la procédure pénale suisse, tel qu’interprété par le Tribunal fédéral suisse, permet l’accès des autorités suisses à des données stockées à l’étranger.⁸ La possibilité de perquisitionner le data center, lorsqu’il se trouve sur le sol suisse est réservée (art. 244 ss CPP), tout comme celle, pour les autorités de poursuite des États de l’UE, de faire usage de leurs règles de procédure pénale interne pour accéder aux données physiquement localisées sur leurs territoires respectifs. Selon notre compréhension, le système e-Evidence permet à l’autorité de poursuite pénale d’un État de l’UE de choisir entre une perquisition et une EPO si le data center se trouve sur son territoire, mais que le fournisseur est rattaché à un autre État de l’UE.

2. Fournisseur de services concerné a) Notion de fournisseur de services

Tel qu’exposé ci-dessus, le critère permettant l’application du système e-Evidence ne réside pas dans la localisation des données dans un État membre de l’UE, respectivement en Suisse pour la surveillance de la correspondance par télécommunications. Il est lié au fait qu’un fournisseur propose des services électroniques dans l’Union, respectivement est soumis au droit suisse.

Au sens du Règlement e-Evidence (art. 3 par. 3 Règlement e-Evidence), est considéré comme un fournisseur de services toute personne physique ou morale qui fournit des services de communications électroniques⁹. Il s’agit des services d’attribution de noms de domaine sur l’internet et de numérotation IP et d’autres services de la société de l’information¹⁰ qui permettent à leurs utilisateurs de communiquer entre eux, de stocker ou de traiter d’une autre manière des données pour le compte des utilisateurs auxquels le service est fourni, à condition que le stockage des données soit une composante déterminante du service fourni à l’utilisateur. Sont expressément exclus les services financiers tels que ceux ayant trait à la banque, au crédit, à l’assurance et à la réassurance, aux retraites professionnelles ou individuelles, aux titres, aux fonds d’investissements, aux paiements et aux conseils en investissement (art. 3 par. 3 Règlement e-Evidence renvoyant à l’art. 2 par. 2 let. b Directive 2006/123/CE du 12 décembre 2006 relative aux services dans le marché intérieur).

Il n’est pas pertinent de savoir si le fournisseur est établi ou non dans l’UE, étant précisé que par établissement on entend une entité qui exerce de manière effective une activité économique pendant une durée indéterminée au moyen d’une infrastructure stable à partir de laquelle l’activité de fourniture de services est réalisée ou gérée (art. 2 par. 4 et art. 3 par. 5 Directive e-Evidence). Concrètement, si un fournisseur est établi dans un État de l’UE qui participe au système e-Evidence, cet État devra veiller à ce que ce fournisseur désigne le (ou les) établissement(s) qui sera (seront) le point de contact pour les autorités pénales (art. 3 par. 1 let. a Directive e-Evidence) ; si tel n’est pas le cas, c’est aux États membres sur les territoires desquels le fournisseur propose ses services qu’il incombe d’y veiller (art. 3 par.1 let. b Directive e-Evidence).

Selon le droit suisse, sont concernés les fournisseurs de services de télécommunication, notion qui a une portée large.¹¹ Est déterminante la transmission d’informations pour le compte de tiers au moyen de techniques de télécommunication.¹² Sont visés en particulier les fournisseurs d’accès à Internet, soit tout fournisseur de services de télécommunication qui offre une prestation publique de transmission d’informations sur la base de la technologie IP et d’adresses IP, mais aussi les fournisseurs de services de télécommunication et les services de communication dérivés. Selon le Conseil fédéral suisse, cela comprend notamment les fournisseurs de services Internet qui permettent une communication unilatérale rendant possible le chargement de documents, ceux qui permettent une communication multilatérale rendant possible la communication entre usagers, les fournisseurs d’espaces de stockage d’e-mails, les fournisseurs...