Contenu

Pas d'obligation de produire des données pour Facebook Suisse

Dans un arrêt (1B_185/2016) destiné à la publication au recueil officiel des ATF (c’est-à-dire les arrêts principaux), le Tribunal fédéral a jugé que, dans le cadre d’une procédure pénale, Facebook Suisse ne peut être contrainte à produire les données d’un compte Facebook ouvert vraisemblablement depuis la Suisse, si Facebook Suisse n’est pas titulaire des données en question et n’en a pas le contrôle.

Les faits

Le 22 avril 2015, un journaliste belge a déposé une plainte pénale en Suisse contre inconnu. Il indiquait avoir été traité notamment d’antisémite sur la partie publique d’un compte Facebook détenu sous pseudonyme. Le Ministère public vaudois a ouvert une instruction pénale pour calomnie, diffamation et injure. Le 29 juin 2015, le Ministère public a requis de la société Facebook Switzerland Sàrl (ci-après : Facebook Suisse) la production de l’identité du détenteur du compte précité, les adresses IP utilisées pour créer le profil, les logs de connexions et les adresses IP en relation avec ces logs ainsi que le contenu privé du compte, sous la menace des peines prévues à l’art. 292 CP (insoumission à une décision d’une autorité). Après plusieurs relances, Facebook Suisse a indiqué qu’elle ne gérait pas la plateforme, mais seulement le développement du marché publicitaire en Suisse. Par email du 25 août 2015, Facebook Ireland Ltd (Facebook Irlande) a indiqué que l’ordre de production devait être adressé par la voie de l’entraide judiciaire internationale.

Le 11 novembre 2015, le Ministère public a adressé à Facebook Suisse ainsi qu’à ses associés gérants une ordonnance de production de pièces portant sur les mêmes renseignements (ainsi que sur un post du 12 avril 2015), avec un délai d’exécution au 25 novembre 2015. Facebook Suisse d’une part, les deux gérants d’autre part ont saisi la Chambre des recours pénale du Tribunal cantonal vaudois, expliquant notamment que les informations demandées étaient en mains de la société irlandaise.

Le 23 mars 2016, la Chambre des recours pénale a rejeté les recours, estimant que l’ordre de production pouvait être adressé à la société recourante et, à défaut, à ses gérants. En effet, selon la jurisprudence cantonale vaudoise, les filiales nationales sont habilitées à recevoir des injonctions des autorités (notamment en matière de protection des données) lorsqu’elles exercent une activité concrète dans le pays concerné, telle que la promotion, la vente et l’affichage d’espaces publicitaires, la vérification de la compatibilité avec les législations nationales ou toute autre activité assimilable à la représentation de la maison mère, laquelle disposait de la mainmise sur la société suisse.

Facebook Suisse et ses deux gérants ont fait recours au Tribunal fédéral.

La décision du Tribunal fédéral

Le Tribunal fédéral se rallie à l’argumentation de Facebook Suisse, selon laquelle elle n’est pas la détentrice des informations requises par le Ministère public. En effet, la société suisse ne traiterait aucune donnée à caractère personnel relative aux utilisateurs. Le service est fourni par Facebook Inc. (États-Unis) pour les utilisateurs résidant aux États-Unis ou au Canada, et par Facebook Irlande pour les autres utilisateurs, notamment européens. Aucun contrat ne serait conclu avec la société suisse, cette dernière n’étant filiale que de Facebook Global Holdings II LLC. En outre, elle ne disposerait d’aucun centre de traitement de données ni de serveurs en Suisse.

Selon l'art. 265 du Code de procédure pénale suisse, l’autorité d’instruction (le Ministère public) peut obtenir auprès de leurs détenteurs les objets ou valeurs qui doivent être séquestrés en application de l'art. 263 CPP – qui règle notamment les principes du séquestre d’objets pouvant par exemple servir de preuve dans une procédure pénale. Le recours à des mesures de contrainte n’est possible que si le détenteur a refusé de procéder au dépôt ou s’il y a lieu de supposer que la sommation de procéder au dépôt ferait échouer la mesure (art. 265 al. 4 CPP).

Le TF revient brièvement sur le fait que le Ministère est parfaitement autorisé à se servir de l’art. 265 CPP pour exiger d’un fournisseur de services Internet des données qu’il ne pourrait obtenir au moyen d’une surveillance des télécommunications (art. 269 et suivants CPP), puisque cette dernière ne peut actuellement être mise en œuvre que pour des fournisseurs d’accès à Internet (cf. la LSCPT et l'OSCPT dans leur version 2012).

Il rappelle que la Convention sur la cybercriminalité (CCC) repose sur le principe de la territorialité, selon lequel un État n’est pas habilité à prendre des mesures d’instruction et de poursuite pénale sur le territoire d’un autre État. Il faut nécessairement agir par le biais de l’entraide internationale (art. 23 ss CCC). L’État qui cherche à obtenir des informations dispose alors de divers instruments destinés à faciliter l’exécution de l’entraide (conservation rapide de données informatiques stockées selon l'art. 29 CCC) voire à la contourner (accès transfrontière à des données stockées, avec consentement ou lorsqu’elles sont accessibles au public, selon l'art. 32 CCC).

Or, selon l'art. 265 CPP qui parle de détenteur et l'art. 18 CCC qui fait état de possession ou de contrôle, la personne visée par l’injonction de produire doit être le possesseur ou le détenteur des données visées, ou tout au moins en avoir le contrôle, c’est-à-dire avoir un pouvoir de disposition, en fait et en droit, sur ces données. Et il s’avère que Facebook Suisse n’a ni l’un ni l’autre.

Le TF critique l’appréciation de la cour vaudoise qui s’est basée sur l'arrêt concernant Google Streetview (ATF 138 II 346). Il explique que cette jurisprudence de droit public ne saurait s’appliquer en matière pénale lorsqu’une autorité de poursuite exige non pas la rectification de données personnelles traitées par la société elle-même, mais la production de preuves en application de l’art. 265 CPP. Dans ce contexte, la détention des preuves requises constitue l’élément déterminant.

Et les pièces fournies par Facebook Suisse pour appuyer cet aspect de sa défense sont éloquentes. Facebook est contrôlé par des sociétés américaine et irlandaise totalement distinctes de Facebook Suisse. Selon un affidavit d’une responsable de la protection des données de Facebook Irlande, cette dernière est seule partenaire contractuelle avec les utilisateurs de Facebook situés hors des États-Unis et du Canada ; elle est également seule à contrôler les données personnelles de ces mêmes utilisateurs. Les “Conditions de services” confirment cette déclaration. La société suisse ne dispose visiblement pas d’un accès direct ou d’une quelconque maîtrise sur les données relatives au service.

Commentaire

L’arrêt du Tribunal fédéral ne facilite pas la tâche des autorités de poursuites helvétiques dans un monde globalisé avec de plus en plus d’acteurs étrangers et entités internationales auxquels s’adresser. Alors qu’en matière civile la jurisprudence européenne relative au droit à l’oubli et le prochain Règlement européen sur la protection des données permettent aux individus de s’adresser aux entités sises sur le territoire de leur pays pour faire valoir leurs droits relatifs à la protection de leurs données, le Tribunal fédéral refuse cette possibilité en matière pénale aux autorités de poursuite.

Il est vrai que la Convention sur la cybercriminalité facilite l’obtention d’informations qui seraient détenues par une société basée à l’étranger (encore faut-il que l’État où la société se trouve soit partie à la CCC). Mais il serait plus simple et pratique – sûrement plus rapide aussi – de s’adresser directement aux bureaux locaux, s’ils existent, lesquels transmettraient le cas échéant la requête directement à qui de droit.

Le Tribunal fédéral considère ici, sûrement à raison, que Facebook Suisse et Facebook Irelande n’ont aucun lien entre elles. Elles appartiennent cependant au même groupe, et bien qu’elles n’aient pas les mêmes activités, cela reste Facebook qui pilote ces deux sociétés. On ressent quand même un léger malaise face à cette application stricte et rigoureuse de la loi lorsqu’on la met en regard de cette réalité. Un peu comme si, à l’instar des montages fiscaux abracadabrants qu’elles mettent en place, les grandes sociétés technologiques américaines parvenaient toujours à s’en sortir, même en toute légalité.

Il semblerait qu’à ce jeu-là, nos autorités de poursuites soient moins bien loties dans leur propre domaine que les citoyens en matière de protection des données. Et en ce qui concerne ces derniers, c’est grâce à la Cour de justice de l’Union européenne. On aurait peut-être pu attendre du TF qu’il fasse de même, il n’en a rien été. Sans doute une occasion manquée…