CLOUD Act : l'hébergement des données "en Suisse" n'est plus suffisant

En début d’année, la Cour Suprême des Etats-Unis a tenu audience pour entendre les arguments des parties dans l’affaire United States v. Microsoft. La Cour était amenée à trancher la question de savoir si des autorités peuvent forcer des sociétés privées américaines à fournir des données qui sont détenues par lesdites sociétés mais sont stockées hors des Etats-Unis.

Clarifying Lawful Overseas Use of Data (CLOUD ACT)

Si le passé est utilisé ici, c’est parce que les Etats-Unis viennent d’adopter une nouvelle réglementation, le CLOUD Act (Clarifying Lawful Overseas Use of Data), par le biais d’une procédure accélérée, ce qui signifie très certainement que l’affaire devant la Cour Suprême, qui aurait mené à un débat juridique des plus intéressants, sera rayée du rôle sans être jugée. Certes, la majorité des juges de la Cour sont républicains et peu de juges étaient du côté de Microsoft (qui refusait de se soumettre à un ordre d’un tribunal exigeant qu’il mette à disposition des données stockées à l’étranger). En outre, les juges avaient préalablement estimé que la solution à ce genre de questions devait venir du Congrès et pas de la Cour Suprême. Il n’empêche… On ne s’attendait pas tellement à ce que le CLOUD Act figure parmi les 2232 pages de réglementation sur les dépenses de l’Etat.

Pas d'obligation de produire des données pour Facebook Suisse

Dans un arrêt (1B_185/2016) destiné à la publication au recueil officiel des ATF (c’est-à-dire les arrêts principaux), le Tribunal fédéral a jugé que, dans le cadre d’une procédure pénale, Facebook Suisse ne peut être contrainte à produire les données d’un compte Facebook ouvert vraisemblablement depuis la Suisse, si Facebook Suisse n’est pas titulaire des données en question et n’en a pas le contrôle.

Les faits

Le 22 avril 2015, un journaliste belge a déposé une plainte pénale en Suisse contre inconnu. Il indiquait avoir été traité notamment d’antisémite sur la partie publique d’un compte Facebook détenu sous pseudonyme. Le Ministère public vaudois a ouvert une instruction pénale pour calomnie, diffamation et injure. Le 29 juin 2015, le Ministère public a requis de la société Facebook Switzerland Sàrl (ci-après : Facebook Suisse) la production de l’identité du détenteur du compte précité, les adresses IP utilisées pour créer le profil, les logs de connexions et les adresses IP en relation avec ces logs ainsi que le contenu privé du compte, sous la menace des peines prévues à l’art. 292 CP (insoumission à une décision d’une autorité). Après plusieurs relances, Facebook Suisse a indiqué qu’elle ne gérait pas la plateforme, mais seulement le développement du marché publicitaire en Suisse. Par email du 25 août 2015, Facebook Ireland Ltd (Facebook Irlande) a indiqué que l’ordre de production devait être adressé par la voie de l’entraide judiciaire internationale.

On veut vous faire croire que vous n'avez rien à cacher

Plusieurs événements survenus en 2015 et 2016 ont fait resurgir, pour la énième fois, et de manière tristement dramatique, les défaillances de la (vidéo)surveillance (de masse). Ou plutôt, son inutilité, son incapacité à protéger, à remplir sa mission. Pourtant, on en veut toujours plus et on ne compte plus le nombre de fois où tant les autorités que les individus et sociétés privées déclarent que si on n’a rien à cacher, on n’a rien à craindre. Ou l’on peut être surveillé et traqué, car on n’a rien à cacher.

Les sources confidentielles de la police sont suffisantes pour ordonner une surveillance des télécommunications

Le Tribunal fédéral a rendu il y a un mois un arrêt important, dont la publication au recueil officiel des ATF est prévue. Cet arrêt 1B_63/2016 du 8 juin 2016 vient préciser les conditions auxquelles le Ministère public peut ordonner (et le Tribunal des mesures de contrainte autoriser) la surveillance des télécommunications d’une personne soupçonnée d’avoir commis une infraction.

Faits

Le 24 juin 2015, la police genevoise a remis un rapport au Ministère public genevois l’informant qu’un Ghanéen inconnu se livrait à un important trafic de cocaïne à Genève et recevait des livraisons en provenance d’Espagne. Ces renseignements avaient été obtenus par des “sources confidentielles et sûres”. Le même jour, la police suggère de recourir à la surveillance - active et rétroactive - du raccordement de téléphonie mobile utilisé par le Ghanéen. Le Procureur les a aussitôt ordonnées et le Tribunal des mesures de contraintes (TMC) les a autorisées le lendemain. La surveillance permet d’identifier le Ghanéen, de mettre en évidence des détails du trafic et des contacts qu’il entretenait, et finalement de l’appréhender le 19 juillet 2015 alors qu’il était accompagné d’un tiers qui transportait 1.3 kg de cocaïne. Il a été mis en prévention de trafic aggravé de stupéfiants et placé en détention.

De l’application de la LSCPT aux fournisseurs de services de VoIP

Le mois dernier, en collaboration avec mon co-stagiaire Me Cédric Bocquet, nous avons écrit et publié un article dans la revue juridique hebdomadaire Jusletter. Le sujet concernait l’application de la loi fédérale sur la surveillance des communications par poste et télécommunications aux fournisseurs de services de VoIP, comme Skype ou FaceTime. Au delà de l’aspect purement juridique et théorique, nous avons donné quelques exemples et également conseillé une marche à suivre pour les avocats qui seraient confrontés à une situation comme celle-ci. En voici le résumé et le PDF.