10.058 Message relatif à l'approbation et à la mise en oeuvre de la Convention du Conseil de l'Europe sur la cybercriminalité du 18 juin 2010
Mesdames les Présidentes, Mesdames et Messieurs, Nous vous soumettons le message relatif à l'approbation et à la mise en oeuvre de la Convention du Conseil de l'Europe sur la cybercriminalité en vous priant de l'approuver.
Nous vous proposons en même temps de classer l'intervention parlementaire suivante: 2001 M 07.3629
Convention sur la cybercriminalité (N Glanzmann-Hunkeler, 3.10.2007)
Nous vous prions d'agréer, Mesdames les Présidentes, Mesdames et Messieurs, l'assurance de notre haute considération.
18 juin 2010
Au nom du Conseil fédéral suisse: La présidente de la Confédération, Doris Leuthard La chancelière de la Confédération, Corina Casanova
2010-0058
4275
Condensé La Convention du Conseil de l'Europe du 23 novembre 2001 sur la cybercriminalité, entrée en vigueur le 1er juillet 2004, est la première convention internationale, et à ce jour la seule, à traiter de cybercriminalité. Les Etats Parties s'y engagent à adapter leur législation aux défis posés par les nouvelles technologies de l'information. La Suisse remplit déjà largement les exigences de la Convention.
Seules de petites adaptations du code pénal et de la loi sur l'entraide pénale internationale ainsi que quelques réserves et déclarations sont nécessaires.
La première partie de la Convention contient des dispositions pénales matérielles; il s'agit d'harmoniser le droit pénal des Etats. La deuxième partie contient des règles de procédure pénale concernant essentiellement l'administration et la conservation des preuves électroniques lors des enquêtes pénales. Enfin, la Convention vise à mettre en place un régime rapide et efficace de coopération pénale entre les Etats Parties.
La Suisse a signé la Convention le 23 novembre 2001. Le code de procédure pénale adopté par le Parlement le 5 octobre 2007, et qui entrera en vigueur le 1er janvier 2011, répond manifestement aux exigences de la Convention. Le Parlement a par ailleurs accepté la motion Glanzmann-Hunkeler (07.3629) qui demandait qu'elle soit ratifiée.
Le droit pénal matériel suisse, dont les dispositions sur les infractions dans le domaine informatique sont entrées en vigueur le 1er janvier 1995, satisfait en majeure partie aux exigences de la Convention. Il faut seulement modifier la définition de l'accès indu à un système informatique (ce que l'on appelle le «piratage informatique», art. 143bis du code pénal), en pénalisant des actes commis antérieurement au piratage lui-même, c'est-à-dire le fait de mettre en circulation ou de rendre accessible un mot de passe, un programme ou toute autre donnée en sachant qu'il doit être utilisé pour pénétrer sans droit dans un système informatique. Nous proposons aussi, bien que la Convention ne l'exige pas, de supprimer le critère du dessein d'enrichissement dans cet article, car il a fait l'objet de critiques répétées.
Dans le domaine de la coopération internationale, une modification (nouvel art. 18b de la loi sur l'entraide pénale internationale) est également nécessaire à la mise en oeuvre
des art. 30 et 33 de la Convention. L'autorité d'exécution suisse sera ainsi autorisée à divulguer les données relatives au trafic informatique avant la clôture de la procédure. Cette possibilité trouve sa justification dans le caractère éphémère des données informatiques. Elle est toutefois limitée à deux situations particulières et accompagnée de restrictions garantissant que les droits de la personne touchée restent protégés de manière adéquate. La révision proposée ne concerne en rien le contenu des communications électroniques.
4276
Table des matières Condensé
4276
1 Les grandes lignes de la Convention 1.1 Contexte et genèse 1.2 Aperçu du contenu de l'accord 1.3 Appréciation de la Convention 1.4 Relation avec le droit de l'Union européenne 1.5 La procédure de consultation
4278 4278 4278 4279 4280 4280
2 Les dispositions de la Convention et leur relation avec la législation suisse 2.1 Chapitre I: Terminologie 2.2 Chapitre II: Mesures à prendre au niveau national 2.3 Chapitre III: Coopération internationale 2.4 Chapitre IV: Clauses finales 2.5 Autres aspects de la procédure de consultation 2.6 Protocole additionnel du 28 janvier 2003 contre les actes de nature raciste et xénophobe 2.7 Rapport avec d'autres révisions du domaine du droit pénal
4280 4280 4281 4301 4315 4316 4317 4318
3 Conséquences 3.1 Conséquences pour la Confédération en matière de finances et de personnel 3.2 Conséquences économiques 3.3 Conséquences en matière informatique 3.4 Conséquences pour les cantons
4318 4318 4319 4319 4319
4 Rapport avec le programme de la législature
4319
5 Constitutionnalité
4319
Arrêté fédéral portant approbation et mise en oeuvre de la convention du Conseil de l'Europe sur la cybercriminalité (Projet)
4321
Convention sur la cybercriminalité
4325
4277
Message 1
Les grandes lignes de la Convention
1.1
Contexte et genèse
L'essor des technologies informatiques a transformé le visage de notre société. Il a simplifié les actes et les tâches les plus quotidiens du domaine de la communication.
Un individu peut transmettre instantanément des données saisies ou conservées en un lieu quelconque à un destinataire précis ou bien à un ensemble de personnes ou d'institutions n'importe où dans le monde. Il est possible de donner accès à des informations enregistrées dans un système informatique à un cercle de personnes déterminé ou indéterminé, qui peuvent les chercher de manière ciblée et les télécharger.
Si cette évolution a des retombées positives sur l'économie, la politique et la société, elle comporte aussi des aspects plus inquiétants. Ce même progrès technologique qui offre de grands avantages à une vaste partie de la population permet de commettre de nouveaux types d'infractions ou offre de nouveaux moyens (numériques) pour commettre des infractions «classiques». La fraude sur Internet, la diffusion de contenus illégaux et l'apologie de la haine, de la violence et de la terreur ne sont que quelques exemples des nouvelles dérives qui préoccupent depuis un certain temps l'opinion publique et les organisations nationales et internationales.
En avril 1997, un groupe d'experts institué par le Comité des ministres du Conseil de l'Europe a mis en chantier un projet de Convention sur la cybercriminalité. Outre les Etats membres, les Etats-Unis, le Canada, l'Afrique du Sud et le Japon ont pris part aux négociations. Les travaux ont duré jusqu'au printemps 2001. Une fois adopté par les organes compétents, le texte a été ouvert à la signature le 23 novembre 2001 à Budapest. La Suisse l'a signé à cette occasion. La Convention est entrée en vigueur le 1er juillet 2004 et a été ratifiée à ce jour par 29 Etats1.
1.2
Aperçu du contenu de l'accord
La Convention du Conseil de l'Europe sur la cybercriminalité est la première convention internationale, et à ce jour la seule, à traiter de cybercriminalité. Les Etats Parties s'y engagent à adapter leur droit pénal matériel, leur procédure pénale et leurs dispositions en matière d'entraide judiciaire aux défis posés par les nouvelles technologies de l'information.
La Convention contient en premier lieu des dispositions pénales matérielles qui visent à harmoniser le droit pénal des Etats. Les Etats Parties s'engagent à sanctionner notamment la fraude et la falsification informatiques, le vol de données et l'accès illicite à un système informatique protégé (art. 2 à 8). Ils doivent punir toute forme de pornographie enfantine sur Internet (art. 9). Les atteintes à la propriété intellectuelle commises par voie électronique sont également visées (art. 10). Enfin,
1
Etat: mai 2010. On trouvera le texte de la Convention et son rapport explicatif (ci-après «rapp. expl.») à l'adresse http://conventions.coe.int (STCE no 185).
4278
les Etats Parties doivent instaurer une responsabilité des personnes morales pour les infractions visées par la Convention (art. 12).
Dans une deuxième partie, la Convention prévoit des règles de procédure pénale relatives à l'administration et à la conservation des preuves sous forme de données informatiques au cours de l'instruction (art. 16 à 21). Les données informatiques peuvent être modifiées à distance en l'espace de quelques secondes, si bien qu'il importe d'assurer leur préservation lorsqu'elles doivent être utilisées dans une instruction et d'éviter leur falsification ou leur destruction en cours de procédure.
Les autorités d'instruction doivent donc pouvoir y accéder rapidement et les conserver sans tarder.
Dans une troisième partie, la Convention traite de la coopération internationale en matière pénale (entraide judiciaire, extradition, mesures provisoires, etc.; art. 23 à 35). Elle a pour but de mettre en place un régime rapide et efficace de coopération.
1.3
Appréciation de la Convention
La Convention du Conseil de l'Europe sur la cybercriminalité, élaborée en réaction aux nouveaux défis que les technologies de l'information posent à la communauté internationale2, reconnaît la nécessité de combattre et de prévenir non seulement à l'intérieur des frontières nationales mais aussi au niveau international cette délinquance qui s'exerce à l'échelle du monde. On ne peut que saluer l'ambition qu'a la Convention d'harmoniser les législations nationales des Etats d'Europe et au-delà et de renforcer la coopération internationale. Des effets positifs se dessinent déjà dans le cadre de la mise en oeuvre au niveau national. Plusieurs Etats ont adapté leur législation, prenant la Convention comme standard et s'inspirant du savoir acquis par le Conseil de l'Europe et ses membres.
Il ne faut pas pour autant surestimer l'importance de la Convention aujourd'hui. De nombreux pays ont une infrastructure encore insuffisante pour lutter contre la cybercriminalité (équipement technique et capacités des autorités, possibilités de surveillance). Quant aux Etats membres qui possèdent une batterie d'instruments efficaces contre les cyber-infractions et des procédures d'entraide judiciaire, les conséquences pratiques de la Convention y sont jugées minimes jusqu'à présent, notamment faute de mécanisme de monitorage et en raison des échanges encore assez faibles entre les Etats Parties3. Le Conseil de l'Europe et les Etats Parties ont engagé des actions pour pallier ces lacunes, afin que la Convention puisse devenir un instrument plus efficace et plus essentiel de la lutte contre la cybercriminalité. La Suisse a participé à ces travaux; si elle devient partie à la Convention, elle pourra davantage oeuvrer dans ce cadre.
2 3
Voir ch. 1.1.
Ainsi en a également conclu le Comité de la Convention sur la cybercriminalité du Conseil de l'Europe (T-CY) lors de sa réunion annuelle.
4279
1.4
Relation avec le droit de l'Union européenne
La mise en oeuvre de la Convention ne présente pas de problèmes de compatibilité avec le droit de l'UE. Un petit nombre de pays membres de l'UE ont déjà ratifié la Convention, plusieurs autres sont en train de la transposer dans leur droit national.
1.5
La procédure de consultation
Le 13 mars 2009, le Conseil fédéral a chargé le Département fédéral de justice et police (DFJP) de soumettre à une consultation un avant-projet de modification du code pénal (CP) et de la loi du 20 mars 1981 sur l'entraide pénale internationale (EIMP), accompagné d'un rapport explicatif. Les cantons, les partis politiques représentés à l'Assemblée fédérale et les institutions et organisations intéressées ont eu jusqu'au 30 juin 2009 pour se prononcer. L'avant-projet a suscité 74 prises de position.
La mise en oeuvre et la ratification de la Convention sont très largement approuvées.
Vingt-et-un cantons, ainsi que la majorité des partis politiques et des organisations, ont explicitement exprimé leur soutien à la ratification et aux modifications de loi proposées4. Certains ont demandé que les modifications de loi aillent plus loin tandis que d'autres les estimaient excessives. Trois participants à la consultation ont demandé que l'on renonce à mettre en oeuvre la Convention.
On traitera ci-après dans les commentaires des dispositions de loi et au ch. 2.5 les remarques et les critiques issues de la consultation.
2
Les dispositions de la Convention et leur relation avec la législation suisse
2.1
Chapitre I: Terminologie
Art. 1
Définitions
L'art. 1 décrit les notions de «système informatique», «données informatiques», «fournisseur de services» et «données relatives au trafic». Ces dernières portent tout particulièrement sur l'expéditeur et le destinataire, la date, la durée, la taille et l'itinéraire de la communication. La terminologie de la Convention s'écarte sur ce point de celle de l'art. 2, let. g, de l'ordonnance du 31 octobre 2001 sur la surveillance de la correspondance par poste et télécommunication (OSCPT)5, où il est question des données que les fournisseurs de services enregistrent comme justificatif des communications. En outre, dans la Convention, les «données relatives au trafic» se réfèrent au trafic informatique de données, alors que l'art. 2, let. g, OSCPT s'applique également aux échanges postaux et aux autres modes de télécommunication. On reviendra plus en détail sur ce terme en relation avec les sections 2 et 3 de la Convention6. Pour le reste, les définitions de la Convention ne diffèrent guère, sur le plan pratique, de celles que l'on utilise en Suisse.
4 5 6
4 cantons ont renoncé à donner un avis.
RS 780.11 Art. 14 ss.
4280
2.2
Chapitre II: Mesures à prendre au niveau national
Art. 2
Accès illégal
L'art. 2 de la Convention vise une criminalisation du piratage («hacking») uniforme au niveau international. Doit être punissable pénalement toute personne qui accède intentionnellement et sans droit à l'ensemble ou à une partie d'un système informatique. Les Etats Parties peuvent remettre une déclaration7 selon laquelle ils exigent qu'il y ait aussi punissabilité en cas de violation des mesures de sécurité, en cas d'intention d'obtenir des données informatiques ou autre intention délictueuse ou en cas de relation avec un système informatique connecté à un autre système informatique.
L'art. 143bis CP8 couvre les accès indus à des données par des intrus (les «hackers» ou pirates): sera punie toute personne qui, sans dessein d'enrichissement, se sera introduite sans droit, au moyen d'un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part.
L'art. 2 de la Convention est couvert pour l'essentiel par l'art. 143bis CP. La différence réside dans l'exigence que le système soit protégé. Il est possible de ne pas modifier l'article du CP: la Suisse peut remettre une déclaration selon laquelle il faut qu'un système de protection de l'accès ait été contourné9. La remise d'autres déclarations relatives à l'art. 2 de la Convention ne semble pas nécessaire. Cet article ne requiert par ailleurs aucune modification de loi.
La formulation de l'art. 143bis CP («sans dessein d'enrichissement») a souvent été critiquée par la doctrine10, qui lui reproche de sanctionner des personnes agissant par curiosité, qui ne seraient pas punissables, dans certaines circonstances, si elles avaient pour but de s'enrichir. C'est oublier que celui qui pénètre dans un ordinateur avec un dessein d'enrichissement veut généralement se procurer des données, c'està-dire les garder en vue d'une utilisation future par soi-même ou par un tiers11, cas de figure soumis à une peine plus élevée par l'art. 143 CP12. S'il ne soustrait pas des données, il essaie de tirer un avantage de son action, par exemple d'inciter un tiers à lui fournir une prestation simplement en entrant dans son ordinateur ou en le menaçant d'endommager ses données. Or ce fait est puni par les dispositions pénales protégeant le patrimoine ou la liberté13.
Il n'en est pas moins vrai que l'exclusion du dessein d'enrichissement dans la définition de l'infraction à l'art. 143bis CP est irritante et que l'application rigoureuse de ce 7 8 9
10
11 12 13
Art. 40 de la Convention.
RS 311.0 Une déclaration similaire a été remise par un certain nombre d'Etats membres à propos de l'art. 2; cf. la liste des déclarations des Parties à l'adresse suivante: http://conventions.coe.int/. La possibilité de remettre des déclarations et des réserves a été expressément prévue comme partie intégrante à la Convention lors de l'élaboration de celle-ci (cf. ch. 49 et 50 du rapp. expl., lien disponible sous note 1).
Ph. Weissenberger, in: Basler Kommentar, Strafrecht II, n. 25 ad art. 143bis, Bâle 2007; S. Trechsel et al., Schweizerisches Strafgesetzbuch, Praxiskommentar, St-Gall 2008, n. 10 ad art. 143bis.
Cette opinion a également été exprimée lors des débats parlementaires, cf. Bull. Stén. du Conseil national, 1993, p. 935 ss.
Soustraction de données.
Par ex. l'art. 156 (Extorsion et chantage) ou 181 (Contrainte) CP.
4281
critère n'était pas dans les intentions du législateur. L'autorité qui applique le droit se voit confrontée à la question du motif de cette restriction, à laquelle il est malaisé de répondre, et doit déterminer, lorsque l'auteur avait le dessein de s'enrichir et commettait donc un acte plus répréhensible, sur quelle base fonder sa punissabilité14.
De plus, le critère de l'absence de dessein d'enrichissement entre forcément en conflit avec la volonté exprimée à l'art. 6 de la Convention de punir les personnes agissant en amont du piratage15, si bien qu'il nous paraît indiqué de sanctionner aussi la diffusion d'un mot de passe avec un dessein d'enrichissement, afin d'éviter toute lacune de la législation pénale.
Nous proposons donc de supprimer le critère de l'absence de dessein d'enrichissement à l'art. 143bis CP (pour la formulation, voir le commentaire de l'art. 6 de la Convention). La définition du piratage (associé pour l'heure à un acte gratuit) sera étendue aux actes commis dans un dessein d'enrichissement. Cela explicitera la volonté du législateur de punir toute intrusion dans un système dans un dessein d'enrichissement tout en mettant fin aux critiques, en comblant la lacune possible que présente l'art. 143bis. Une personne qui s'introduit dans un système informatique protégé dans un dessein d'enrichissement et en soustrait des données continuera de se rendre coupable de soustraction de données (art. 143 CP), ce qui absorbe pénalement l'art. 143bis.
Art. 3
Interception illégale
Conformément à l'art. 3 de la Convention, doit être punissable quiconque intercepte intentionnellement et sans droit, à l'aide de moyens techniques, des données informatiques lors de transmissions non publiques, y compris les émissions électromagnétiques. L'interception comprend l'écoute, la surveillance, l'obtention et l'enregistrement des données16. Etant donné la similitude de situation avec l'art. 2 de la Convention, les Etats Parties ont là aussi la possibilité, au moyen d'une déclaration, de lier la pénalisation à d'autres conditions, à savoir la connexion avec un autre système informatique ou l'existence d'une intention délictueuse.
Le droit pénal suisse ne possède pas de réglementation correspondant à l'art. 3 de la Convention, mais plusieurs normes pénales assurent une protection partielle.
L'art. 321ter CP protège le secret des postes et des télécommunications, dont la violation est punie d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire. Son champ d'application se limite toutefois aux fonctionnaires et à des personnes occupant une position ou une fonction particulière. Quant à la punissabilité conformément à l'art. 143bis CP (piratage), elle est limitée à l'intrusion dans un système informatique. Cette disposition ne protège donc pas les installations de transmission elles-mêmes, à moins que celles-ci ne constituent des systèmes informatiques au sens de la norme pénale17.
Conformément à l'art. 143 CP18, est punissable celui qui se procure, dans un dessein d'enrichissement illégitime, des données enregistrées électroniquement ou selon un 14
15 16 17 18
Dans le projet du Conseil fédéral, les art. 143 et 143bis formaient une seule et même disposition (cf. FF 1991 II 977). L'acte commis sans dessein d'enrichissement était une variante privilégiée de l'infraction principale.
Voir le commentaire de l'art. 6 de la Convention.
Voir ch. 53 du rapp. expl. (lien disponible sous note 1).
N. Schmid, Computerkriminalität, Zurich 1994, § 5 n. 16.
Soustraction de données.
4282
mode similaire, qui ne lui étaient pas destinées et qui étaient spécialement protégées contre tout accès indu de sa part. Se procurer au sens de la loi signifie obtenir le pouvoir de disposer des données; il n'est pas nécessaire que l'auteur de cet acte enregistre les informations sur un support de données qui lui appartient. Il suffit qu'il puisse les mettre en oeuvre pour ses propres besoins19. La réception ou l'écoute d'une «émission» électromagnétique, produite par un système informatique ou par une installation de transmission de données, est également visée20.
En exigeant que le système informatique soit spécialement protégé, le législateur limite le champ d'application de l'art. 143 CP aux cas dans lesquels la personne ayant légalement accès aux données manifeste sa volonté d'empêcher que des tiers n'accèdent à ses données ou de restreindre cet accès. Mis à part le verrouillage de locaux et d'armoires, par exemple, l'utilisation d'un chiffrement, de codes d'accès, de clefs biométriques ou de mots de passe est également une manifestation de cette intention. La protection doit être habituellement suffisante pour empêcher un accès illégal21. Il n'est pas nécessaire, par exemple, que des mesures de protection spécifiques, allant au-delà d'une protection contre les virus et les accès illicites habituelle sur le marché22, aient été prises. La norme pénale ne s'applique pas, par contre, à une attaque contre des données non protégées ou à leur utilisation illicite23.
L'art. 3 de la Convention ne porte toutefois que sur les transmissions de données informatiques. Lorsqu'il y a transmission de données, les exigences de protection sont en général réduites24. On n'exigera pas en principe que des mesures de protection supplémentaires, un chiffrement par exemple, aient été prises pour que l'art. 143 CP s'applique, pourvu qu'il ressorte clairement de la situation que les données n'étaient pas destinées à être accessibles à des tiers25. Cet article correspond à la disposition de l'art. 3 de la Convention. Il n'y a pas lieu, comme nous l'avons montré, de prévoir des exigences plus strictes pour la protection des transmissions de données non publiques. La norme pénale prévoit cependant que l'action doit avoir été commise dans un dessein d'enrichissement illégitime. Il faudra donc émettre une déclaration
sur ce point.
Selon le rapport explicatif relatif à la Convention26, le flux d'informations à l'intérieur d'un système informatique doit aussi être considéré comme une transmission de données au sens de l'art. 3 de la Convention. Cela inclut les transmissions sans fil, toujours plus nombreuses, entre l'ordinateur et les appareils périphériques (imprimante, clavier, écran, etc.). Ces données peuvent être interceptées par ceux qui 19 20 21 22 23 24
25
26
Même s'il ne les emploie pas véritablement (N. Schmid, loc. cit., § 4 n. 40 s).
N. Schmid, op. cit., § 4 n. 30 et n. 51.
Cf. Weissenberger, op. cit., n. 18 ad art. 143.
Par ex. dans le cas de l'intrusion d'un «cheval de Troie»; cf. le jugement du 13 novembre 2007 de la 2e chambre pénale du tribunal cantonal de Berne, SK 2007/187.
Par ex. dans le cas d'un ordinateur utilisé en commun ou de l'utilisation illicite de données par une personne à qui elles ont été confiées.
Cf. Chr. Schwarzenegger, Die internationale Harmonisierung des Computer- und Internetstrafrechts durch die Convention on Cybercrime, in: Strafrecht, Strafprozessrecht und Menschenrechte, Festschrift Trechsel, Zurich 2002, p. 305 ss.
Par ex., un serveur via lequel des données sont échangées doit faire l'objet des mêmes mesures de sécurité qu'un poste de travail connecté, en fonction de l'accessibilité des données, mais les lignes par lesquelles transitent les données ne doivent pas être spécialement protégées (systèmes d'alarme, câbles sécurisés) contre un raccordement pirate.
Voir ch. 55 du rapp. expl. (lien disponible sous note 1).
4283
disposent de l'équipement et des connaissances nécessaires, mais on considère néanmoins qu'elles sont protégées contre un accès indu, en raison de leur caractère non public, de la portée généralement faible de l'onde porteuse et du fait que l'auteur, agissant sciemment, doit prendre des dispositions particulières pour y avoir accès. L'art. 143 CP est donc aussi applicable dans ce cas27. Il n'est pas nécessaire d'adapter la loi sur ce point en sus de la déclaration mentionnée ci-avant.
Art. 4
Atteinte à l'intégrité des données
Selon cette disposition, doit être punissable le fait d'endommager, d'effacer, de détériorer, d'altérer ou de supprimer des données sans droit et de manière intentionnelle. Un Etat Partie peut, par le biais d'une réserve28, déclarer comme condition de la punissabilité le fait que le comportement en question entraîne des dommages sérieux.
Conformément à l'art. 144bis CP (Détérioration de données), celui qui sans droit modifie, efface ou met hors d'usage des données enregistrées ou transmises électroniquement ou sur un mode similaire est puni sur plainte. Par «mettre hors d'usage», on vise toute personne qui empêche l'ayant droit de faire usage de ses données, même avec un effet provisoire29. C'est déjà le cas d'une simple «attaque par déni de service» qui consiste à inonder un réseau de sorte à bloquer un serveur pour un certain temps et à empêcher les utilisateurs légitimes d'accéder à des services30. Le fait de «supprimer» au sens de la Convention est couvert par le droit en vigueur.
Quant au fait d'endommager ou de détériorer, il est ouvert par les termes de «modifier» et de «mettre hors d'usage». La punissabilité requise est garantie par l'art. 144bis CP.
Art. 5
Atteinte à l'intégrité du système
Conformément à l'art. 5 de la Convention, se rend punissable quiconque entrave gravement, de manière intentionnelle et sans droit, le fonctionnement d'un système informatique, par l'introduction, la transmission, l'endommagement, l'effacement, la détérioration, l'altération ou la suppression de données informatiques. Il y a notamment entrave grave en cas d'envoi de données dont la forme, le volume ou la fréquence restreint considérablement le fonctionnement d'un système informatique31.
Même lorsqu'il est perçu comme gênant, l'envoi en masse de courrier électronique non sollicité32 n'est pas couvert par cette disposition33.
27 28 29 30 31 32
33
Si une personne capte des données sans agissement de sa part ni volonté de le faire (par ex. sur son modem), il manque le caractère intentionnel.
Art. 42 de la Convention. Quelques Etats ont déjà fait usage de cette possibilité, voir http://conventions.coe.int/.
N. Schmid, loc. cit., n. 29 ad art. 144bis; Stratenwerth, loc. cit., n. 49 ad § 14; voir aussi ch. 61 du rapp. expl. (lien disponible sous note 1).
Cf. Weissenberger, loc. cit., n. 23 ad art. 144bis.
Voir plus haut; blocage ou paralysie intentionnels, voir ch. 67 du rapp. expl. (lien disponible sous note 1).
«Spamming». Une norme pénale à ce sujet est entrée en vigueur en droit suisse le 1er avril 2007 (art. 3, let. o, de la loi fédérale du 19 décembre 1986 contre la concurrence déloyale, RS 241).
Voir ch. 69 du rapp. expl. (lien disponible sous note 1).
4284
Ces faits sont couverts par l'infraction de la détérioration de données définie par l'art. 144bis CP qui punit aussi la mise hors d'usage temporaire de données et le blocage de l'accès à des données pendant un laps de temps considérable34.
Art. 6
Abus de dispositifs
Exigences de la Convention Selon l'art. 6 de la Convention, doivent être déclarées punissables, lorsqu'elles sont commises intentionnellement et sans droit, la production, la vente, l'obtention pour utilisation, l'importation, la diffusion ou autres formes de mise à disposition de dispositifs, logiciels35, codes d'accès ou mots de passe utilisés pour permettre la commission de l'une des infractions établies conformément aux articles précédents36. L'intention doit se référer, outre à l'acte lui-même, à la commission des infractions visées aux art. 2 à 537. En d'autres termes, celui qui vend ou transmet un des éléments cités doit être pleinement conscient qu'il sera ultérieurement utilisé illégalement et agir dans cette intention. Doit également être déclarée punissable la possession d'un de ces éléments dans l'intention qu'il soit utilisé afin de commettre l'une des infractions visées38.
La Convention accorde aux Etats Parties différentes possibilités de déposer des réserves et d'adopter des normes nationales divergentes. Ainsi la possession peut n'être punissable que si elle porte sur un nombre minimum de ces éléments. Le par. 3 prévoit la possibilité d'une réserve générale39, selon laquelle seules la vente, la distribution ou la mise à disposition de mots de passe, de codes d'accès ou autres données similaires sont pénalisées.
Modification de l'art. 143bis CP Conformément à l'art. 144bis, ch. 2, CP, est punissable celui qui aura fabriqué, importé, mis en circulation, promu, offert ou d'une quelconque manière rendu accessibles des logiciels dont il savait ou devait présumer qu'ils devaient être utilisés dans le but de modifier ou de détériorer illégalement des données, ou qui a fourni des indications en vue de leur fabrication. Il s'agit ici de la norme concernant les virus informatiques, qui permet de punir les actes préparatoires visant une détérioration des données. Il y a également infraction en cas de dol éventuel, lorsque la détérioration des données est commise par un tiers40.
L'art. 6 de la Convention est couvert, dans sa substance, par l'article pénal cité. En outre, notamment dans les cas où il ne s'agit ni de modification ni d'effacement de données, et où des programmes ne sont pas mis en circulation, les dispositions relatives à la complicité et à la tentative41 sont applicables,
en relation avec les art. 143 et 143bis CP.
En cas de possession ou de production de dispositifs ou de programmes avec intention de les utiliser illégalement, on peut admettre qu'il y a tentative, dans certaines 34 35 36 37 38 39 40 41
Cf. le commentaire de l'art. 4 de la Convention.
Par ex. les programmes-virus; voir ch. 72 du rapp. expl. (lien disponible sous note 1).
Art. 6, par. 1, let. a.
Art. 6, par. 1, let. a, in fine.
Art. 6, par. 1, let. b.
Art. 42 de la Convention.
Cf. ATF 129 IV 230 Art. 22 et 25 CP.
4285
circonstances, et donc punissabilité, compte tenu de la doctrine et de la jurisprudence actuelles relatives à la tentative (inachevée) punissable en droit pénal conformément à l'art. 22, al. 1, CP42. Si l'on peut prouver à satisfaction de droit que le producteur ou le propriétaire a eu cette intention (le texte de la Convention part de cette hypothèse), on peut considérer que le coupable a manifesté son intention au sens du dépassement du seuil de la tentative (mais n'a pas encore tout fait pour réaliser la consommation de l'infraction).
Est puni à titre de complice quiconque prête intentionnellement assistance à l'auteur d'un crime ou d'un délit, donc soutient l'acte intentionnel d'autrui à titre subordonné43. Le complice n'a besoin de connaître ni la victime, ni l'auteur, ni les modalités précises de l'acte44. L'importation, l'obtention et la diffusion délibérées de dispositifs, mots de passe et programmes en toute conscience du fait qu'ils seront utilisés pour commettre des infractions et dans l'intention qu'ils le soient, peuvent donc constituer une infraction, au titre de complicité, au droit pénal applicable à l'informatique. Il convient toutefois de noter à ce propos qu'outre la tentative de complicité, l'assistance concernant un acte principal qui n'a pas (encore) fait l'objet d'une tentative n'est pas punissable. De même que nous l'avons mentionné plus haut, il faut qu'il y ait un lien et une proximité matérielle et temporelle avec une infraction concrète.
Par contre, la personne possédant ou produisant un tel dispositif dans l'idée que celui-ci soit éventuellement, à un moment ultérieur indéterminé, utilisé par une tierce personne encore indéterminée à des fins délictueuses, n'est pas punissable, en vertu du principe du caractère accessoire effectif45; il n'y a pas la corrélation requise avec un acte principal pour lequel au moins des plans avaient été établis. Dans le cas où une personne communique un code d'accès46 dans l'intention de le voir utilisé pour la commission d'une infraction mais où celle-ci n'a pas commencé, il n'y a pas comportement punissable en vertu du droit suisse. Or la Convention requiert la punissabilité dans ce cas47. Il conviendrait d'envisager une modification de l'art. 143bis couvrant la diffusion illégale des codes d'accès ou autres données similaires et
incriminant donc certains actes préparatoires du piratage48, comme à l'art. 144bis, ch. 2, CP (Détérioration de données).
La nouvelle infraction divulguer un mot de passe, un programme ou toute autre donnée sera poursuivie d'office. Contrairement à l'intrusion elle-même, cet acte ne peut en général pas être assigné à une cible concrète, donc relié à une personne habilitée à porter plainte. Citons comme exemple la divulgation sur Internet de données permettant de casser les protections similaires d'un grand nombre d'ordinateurs.
La formule «dont il sait où doit présumer», que l'on connaît d'autres dispositions pénales, permettra en premier lieu de prouver plus facilement qu'il y a intention lorsque l'auteur de l'acte est conscient de circonstances telles qu'il doit bien se
42 43 44 45 46 47 48
Cf. ATF 114 IV 114; 119 IV 227; S. Trechsel/P. Noll, Schweizerisches Strafrecht, AT I, Zurich 1998, p. 174 ss.
Cf. S. Trechsel, loc. cit., n. 1 ad art. 25.
Forster, in: Basler Kommentar, StGB I, 2003, n. 19 ad art. 25.
Cf. S. Trechsel, loc. cit., n. 24 ss, Vor Art. 24.
Et non un programme au sens de la loi.
Cf. art. 6, par. 3.
Cf. Schmid, loc. cit., n. 31 ad art. 143bis.
4286
douter que les données feront l'objet d'un usage illicite49. La négligence ne sera pas punissable. La diffusion de dispositifs ou de données à double emploi50 restera licite à certaines conditions (voir plus bas), si certaines mesures sont prises; il ne sera pas punissable de prendre des mesures d'assurance-qualité concernant son propre ordinateur ou sur mandat de tiers. Les craintes exprimées par le secteur informatique durant la consultation51 sont infondées. Il restera aussi légal de décrire et d'utiliser des outils de piratage informatique dans les formations adressées au personnel chargé de la sécurité informatique52.
Il sera punissable, par contre, de diffuser intentionnellement des programmes et autres données (l'intention se rapportant à la diffusion mais aussi à l'utilisation illicite ultérieure de ces données). Tout aussi punissable sera la diffusion irresponsable de ces données si leur caractère sensible, leurs destinataires ou d'autres circonstances ne laissent guère de doute quant à l'utilisation illicite qui en sera faite. Il ne conviendrait pas en effet que l'on puisse distribuer de manière irréfléchie des outils de piratage informatique dans un environnement propice aux infractions sans encourir la moindre peine.
L'évaluation des vulnérabilités d'un système informatique menée par l'exploitant du système ou par un tiers mandaté à cet effet, de même que le développement d'un nouveau logiciel à cet effet, sont des actes accomplis par la personne autorisée ou sur son ordre et demeureront licites53.
Par ailleurs, nous prévoyons de supprimer la référence au dessein d'enrichissement (cf. le commentaire de l'art. 3 de la Convention) afin de punir de manière plus cohérente les actes préparatoires, sans avoir à faire de distinction selon qu'il y a ou non dessein d'enrichissement.
La modification proposée se rapproche des exigences de la Convention. Il restreint légèrement, mais dans une mesure que nous considérons comme proportionnée, le champ des infractions possibles par rapport à la définition actuelle de la «détérioration de données»54. Sera sanctionné le fait de rendre accessible et de mettre en circulation des données, deux notions qui peuvent être interprétées très largement et qui se recoupent en partie.
Par ailleurs, il semble indiqué d'émettre une réserve excluant la punissabilité
de la possession, de l'importation et de la production des données, à moins que ces actes ne visent la détérioration ou la modification de données ou ne puissent être qualifiés de complicité ou de tentative punissable d'un autre acte55.
49 50 51 52
53 54 55
Cf. Weissenberger, loc. cit., n. 67 ss ad art. 160 et références citées.
Dispositifs ou données qui peuvent être utilisés à la fois à des fins légales et illégales.
Voir ch. 1.4.
Sur ce point, le projet se distingue fondamentalement du § 202c du code pénal allemand (actes préparatoires relatifs à l'accès indu à des données ou à l'interception de données), qui punit celui qui donne accès à un tel programme indépendamment de ses intentions, et qui fait l'objet de critiques. Notons que l'interprétation de la disposition allemande a été considérablement relativisée suite à l'arrêt de la Cour constitutionnelle allemande du 18 mai 2009.
Des craintes ont été exprimées sur ce point lors de la consultation, voir plus haut.
Notamment en ce qui concerne la production et l'importation de données.
En particulier les art. 143 et 143bis CP.
4287
Art. 7
Falsification informatique
Cet article érige en infraction pénale l'introduction, l'altération, l'effacement ou la suppression intentionnels et sans droit de données informatiques, engendrant des données non authentiques, dans l'intention qu'elles soient considérées comme si elles étaient authentiques. Les Etats Parties peuvent remettre une déclaration56 exigeant une intention frauduleuse ou une autre intention similaire.
En droit suisse, si l'auteur n'est pas habilité à accéder aux données, la disposition pénale concernant la détérioration des données57 est applicable. Si l'auteur intervient dans un processus de traitement des données et s'il y a transfert d'actifs et dommage, l'art. 147 CP (Utilisation frauduleuse d'un ordinateur) est applicable. Par ailleurs, l'infraction de faux dans les titres58 ou de tentative de faux dans les titres vaut également pour les fichiers et données électroniques. La disposition de la Convention est ainsi couverte par le droit en vigueur. Il sera néanmoins nécessaire d'émettre une déclaration selon laquelle un élément constitutif de l'infraction supplémentaire est requis, à savoir qu'il y a intention de produire un dommage ou un avantage.
Art. 8
Fraude informatique
L'art. 8 de la Convention érige en infraction le fait intentionnel et sans droit de causer un préjudice patrimonial à une autre personne dans l'intention frauduleuse ou délictueuse d'obtenir sans droit un bénéfice économique pour soi-même ou pour autrui. Le préjudice doit se faire par introduction, altération, effacement ou suppression de données informatiques (let. a) ou par une autre forme d'atteinte au fonctionnement d'un système informatique (let. b).
L'art. 147 CP punit l'utilisation frauduleuse d'un ordinateur. Contrairement à l'escroquerie «classique»59, il couvre également le cas dans lequel l'auteur n'a pas induit la personne lésée en erreur en vue du transfert d'actifs, mais a simplement manipulé des données60. Il y a par exemple utilisation de données inexactes au sens de la disposition pénale lorsque l'auteur modifie, efface, déplace ou altère des données de manière contraire aux faits. Des données peuvent aussi être inexactes lorsqu'elles sont enregistrées au mauvais moment. Est également punissable quiconque influe, en recourant à «un procédé analogue», sur un processus de traitement ou de transmission de données et provoque ainsi un transfert d'actifs ou le dissimule.
L'art. 8 de la Convention est couvert par l'art. 147 CP. Dans les deux cas, le transfert d'actifs fait partie de l'élément objectif de l'infraction et doit donc être effectif pour que celle-ci soit accomplie. Il n'est pas nécessaire que l'auteur en tire réellement un profit. Si, en vue du transfert d'actifs, l'auteur a induit la personne lésée en erreur, c'est la norme sur l'escroquerie «classique» (art. 146 CP) qui s'applique, même si des processus de traitement de données sont en jeu; il prime alors l'art. 14761.
56 57 58 59 60 61
Art. 40 de la Convention.
Art. 144bis, ch. 1, CP.
Art. 251 en relation avec l'art. 110, al. 4, CP.
Sanctionnée par l'art. 146.
Cf. N. Schmid, loc. cit., § 7 n. 1.
Cf. N. Schmid, loc. cit., § 7 n. 161.
4288
Art. 9
Infractions se rapportant à la pornographie enfantine
Selon l'art. 9 de la Convention, doit être punissable quiconque utilise un système informatique pour offrir, mettre à disposition, diffuser, transmettre, se procurer, posséder ou produire par le biais d'un système informatique du matériel de pornographie enfantine.
L'art. 197, ch. 3 et 3bis, CP punit ces actes, notamment la possession de pornographie enfantine sur supports de données électroniques ou le téléchargement de ce même matériel. Le droit suisse couvre également les «images réalistes» mentionnées à l'art. 9, par. 2, let. c, de la Convention62. Il n'est pas nécessaire d'utiliser la possibilité de faire une réserve à ce sujet.
L'art. 9, par. 2, let. b, de la Convention se réfère à la représentation d'une personne «qui apparaît comme un mineur». Cette disposition n'est pas totalement limpide et le rapport explicatif n'en éclaire pas le sens. S'il s'agit de personnes dont on ne peut conclure qu'elles sont mineures, le tribunal suisse peut déterminer, dans le cadre de l'appréciation des preuves, dans quelle mesure il s'agit de la représentation d'un acte commis avec un enfant entraînant une punissabilité de l'auteur. Les exigences de la Convention sont alors remplies. S'il s'agit cependant, comme semble l'indiquer la comparaison des différentes versions linguistiques de la Convention, de la représentation d'un adulte qui a l'apparence d'un enfant63, elle n'est guère punissable en droit suisse. Il est vrai que de telles représentations peuvent avoir un effet tout aussi corrupteur sur leur spectateur, mais leur danger potentiel et leur gravité véritable ne sauraient être comparés aux conséquences fatales, déshumanisantes, de la «vraie» pornographie enfantine pour ses victimes mineures et ses consommateurs. Il ne semble pas opportun d'étendre en ce sens la norme pénale. Cela ne ferait que compliquer les problèmes de définition qui se posent déjà. Nous prévoyons donc de déposer une réserve selon laquelle la let. b du par. 2 ne s'appliquera pas.
Selon la doctrine et la jurisprudence dominantes, les mineurs de moins de seize ans sont considérés comme «enfants» au sens de l'art. 197 CP64. La protection offerte par l'art. 187 CP (Actes d'ordre sexuel avec des enfants) s'étend à la même catégorie d'âge. Plusieurs pensent toutefois que cette limite ne devrait pas être le seul critère de l'interdiction
absolue de représentations pornographiques. Ils préconisent de punir également la représentation d'adolescents de plus de seize ans s'ils sont physiquement peu développés, et de tenir compte de l'impression produite et du fait que le matériel s'adresse manifestement à un spectateur pédophile65. Il est possible, dans le cadre de la mise en oeuvre et de la ratification de la Convention, de déposer une déclaration66 selon laquelle l'âge limite visé à l'art. 9, par. 3, de la Convention est de seize ans. Bien que la Suisse n'applique pas dans tous les cas un âge limite de seize ans, il convient qu'elle fasse usage de cette possibilité.
Il est vrai cependant que l'idée d'un âge limite fixé strictement à 18 ans a tendance à s'imposer sur le plan international. La Suisse ne veut pas se fermer à ces réflexions et à ces discussions, qui sont aussi pertinentes pour elle. On examinera s'il est nécessaire et opportun d'adapter le droit suisse, en relation avec les actes sexuels commis 62 63 64 65 66
Cf. le message du 10 mai 2000 concernant la modification du CP et du CPM, FF 2000 2807 s.
Par ex. s'il est possible de prouver l'âge de la personne représentée.
Cf. Schwaibold/Meng, Basler Kommentar, op. cit., n. 21 ss ad art. 197.
Voir plus haut.
Art. 40 de la Convention.
4289
avec des enfants et les représentations de tels actes, dans le contexte de la signature et de la mise en oeuvre prévues de la Convention du Conseil de l'Europe du 15 octobre 2007 pour la protection des enfants contre l'exploitation et les abus sexuels67.
Art. 10
Infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes
La Suisse a ratifié toutes les conventions qui sont mentionnées à l'art. 10 de la Convention sur la cybercriminalité, soit:
la Convention de Berne pour la protection des oeuvres littéraires et artistiques, dans sa version révisée à Paris le 24 juillet 197168;
la Convention internationale du 26 octobre 1961 sur la protection des artistes interprètes ou exécutants, des producteurs de phonogrammes et des organismes de radiodiffusion (Convention de Rome)69;
l'Accord sur les aspects de propriété intellectuelle qui touchent au commerce (ADPIC)70;
le Traité de l'OMPI du 20 décembre 1996 sur le droit d'auteur (WTC)71;
le Traité de l'OMPI du 20 décembre 1996 sur les interprétations et exécutions et les phonogrammes (WPPT)72.
La révision partielle du 5 octobre 200773 de la loi du 9 octobre 1992 sur le droit d'auteur (LDA)74, qui est entrée en vigueur le 1er juillet 2008, adapte la législation suisse à ces deux derniers instruments de l'OMPI (WCT et WPPT). Le WCT et le WPPT ont été ratifiés et sont entrés en vigueur pour la Suisse en même temps que cette modification.
Selon la terminologie d'usage en Suisse, il est question dans cette disposition de droit d'auteur et de droits voisins75. Comme le précise le rapport explicatif du Conseil de l'Europe, «l'emploi du membre de phrase «conformément aux obligations que celles-ci a souscrites» dans les deux paragraphes spécifie qu'une Partie contractante à la présente Convention n'est pas tenue d'appliquer les instruments mentionnés auxquels elle n'est pas partie»76. La Convention est donc formulée de telle manière que les Etats Parties n'encourent pas d'obligation en vertu des conventions internationales qu'ils n'ont pas encore ratifiées. La Suisse étant liée tant par la 67 68 69 70 71 72 73 74 75
76
http://conventions.coe.int (STCE no 201).
RS 0.231.15 RS 0.231.171 Annexe 1.C à l'Accord du 15 avril 1994 instituant l'organisation mondiale du commerce; RS 0.632.20.
RS 0.231.151 RS 0.231.171.1 RO 2008 2497 2502; FF 2006 3263 RS 231.1 La terminologie utilisée dans la version française de l'art. 10 est particulière (ainsi «copyright» a été traduit par «propriété intellectuelle» au lieu de «droit d'auteur»), et ne reprend pas toujours les titres officiels en français des accords internationaux qui sont cités (voir ADPIC et WCT). A noter que l'expression «droits connexes» est utilisée au niveau international, mais que ces droits sont habituellement désignés en Suisse par «droits voisins».
Voir ch. 110 in fine du rapp. expl. (lien disponible sous note 1).
4290
Convention de Berne, la Convention de Rome, l'Accord ADPIC, le WCT et le WPPT, c'est à la lumière de ces conventions qu'il faut examiner les obligations qu'elle doit remplir en vertu de la Convention sur la cybercriminalité.
La Suisse a reconnu dans sa LDA les droits prévus par les conventions qu'elle a ratifiées et dans les art. 67 à 69a de cette même loi elle a érigé en infractions pénales les violations correspondantes du droit d'auteur et des droits voisins. Ces dispositions permettent également de poursuivre comme l'art. 10 de la Convention l'exige les infractions qui seraient commises «au moyen d'un système informatique».
La LDA remplit également les exigences posées quant au fait que les actes punissables doivent avoir été commis «délibérément» puisqu'elle incrimine les infractions commises «intentionnellement». Elle respecte également la condition selon laquelle les violations doivent avoir lieu «à l'échelle commerciale» puisque les infractions «par métier» sont poursuivies d'office et va même au-delà puisqu'elle permet la poursuite sur plainte dans les autres cas.
Par ailleurs, la LDA a été révisée et adaptée au WCT et au WPPT, de sorte que la Suisse remplit toutes les obligations imposées par l'art. 10 de la Convention sur la cybercriminalité.
Art. 11
Tentative et complicité
L'art. 11 de la Convention est couvert par le droit pénal suisse en vigueur, notamment par les art. 22, 24 et 25.
Art. 12
Responsabilité des personnes morales
En vertu de cette disposition, les personnes morales doivent pouvoir être rendues responsables des infractions visées par la Convention lorsqu'elles sont commises pour leur compte par une personne physique qui exerce un pouvoir de direction en leur sein (par. 1). Par ailleurs, les Etats Parties doivent s'assurer qu'une entreprise puisse être tenue pour responsable lorsqu'une personne sous son autorité commet une infraction visée par la Convention pour son propre compte et que cette infraction est imputable à un défaut de supervision de la part d'une personne qui exerce un pouvoir de direction au sein de l'entreprise (par. 2).
La responsabilité peut être civile, administrative ou pénale (par. 3) et ne doit pas exclure une éventuelle responsabilité pénale de la personne physique qui a commis l'infraction (par. 4).
Parmi les traités récents de droit pénal international, nombreux sont ceux qui prévoient des règles, parfois identiques, concernant la responsabilité des entreprises. Par exemple, la Convention pénale du Conseil de l'Europe du 27 janvier 1999 sur la corruption77 prévoit la responsabilité des personnes morales, sans préciser son caractère civil, administratif ou pénal78. Les Etats Parties doivent s'assurer que les personnes morales sont aussi soumises à des sanctions ou à des mesures appropriées, y compris des sanctions pécuniaires79. Ces traités ne déclarent délibérément pas illicite le principe encore bien répandu malgré une tendance contraire sur le plan 77 78 79
STE no 173, art. 18; RS 0.311.55.
Son rapport explicatif (ch. 86) mentionne cependant que les Etats Parties ne sont pas tenus d'introduire la responsabilité pénale des personnes morales.
Cf. art. 13 de la Convention.
4291
international selon lequel les personnes morales ne peuvent pas assumer de responsabilité pénale.
La responsabilité pénale de l'entreprise a été introduite dans le droit suisse le 1er octobre 200380. Les nouvelles dispositions prévoient une responsabilité primaire de l'entreprise pour certaines catégories d'infractions lorsque l'on peut lui reprocher de n'avoir pas pris toutes les mesures d'organisation raisonnables et nécessaires pour empêcher l'infraction81. Cependant, les actes pénalisés par la Convention82 n'en font pas partie83.
La Suisse a en même temps instauré une responsabilité pénale subsidiaire générale de la personne morale dans le cas où une infraction ne peut être imputée à aucune personne physique déterminée en raison du manque d'organisation de l'entreprise84.
La peine prévue est une amende pouvant aller jusqu'à cinq millions de francs. Cette responsabilité pénale s'étend à tous les crimes et délits sanctionnés par le droit suisse85; elle recouvre donc les infractions visées par la Convention. Cette norme va plus loin que le texte de la Convention dans le sens où celui-ci se limite aux infractions commises pour le compte de l'entreprise par un membre de sa direction, tandis que le CP punit tous les crimes et délits commis dans l'exercice d'activités commerciales conformes aux buts de l'entreprise. Par contre, l'art. 102, al. 1, CP permet de sanctionner une personne morale uniquement lorsque l'acte délictueux ne peut être imputé à aucune personne physique.
L'art. 12, par. 4, de la Convention statue que la responsabilité pénale de la personne morale est établie sans préjudice de celle de la personne physique. Il n'est cependant pas entièrement clair s'il s'agit d'obliger les Etats Parties à prévoir une responsabilité pénale parallèle. Le rapport explicatif de la Convention ne donne pas d'indications à ce sujet.
La responsabilité subsidiaire des personnes morales en droit suisse n'exclut pas la punissabilité de la personne physique. Elle s'applique lorsque l'auteur ne peut pas être puni en raison du manque d'organisation de l'entreprise. L'art. 102, al. 1, CP n'est donc pas en contradiction avec l'art. 12, par. 4, de la Convention. Témoin le cas dans lequel il est possible de déterminer la personne physique impliquée et son comportement une fois l'entreprise condamnée: rien ne
s'oppose alors, en principe, à ce que tant la personne physique que la personne morale soient punies86.
Outre la responsabilité pénale de l'entreprise, la responsabilité de droit administratif permet de prendre des sanctions pour éviter des dommages futurs, par exemple en retirant une autorisation ou en refusant d'autoriser une entreprise à exercer ses activités dans un domaine particulier. Le droit suisse connaît plusieurs mécanismes de cet ordre, qui ne peuvent toutefois pas être appliqués indistinctement à toutes les entreprises et qui n'ont de portée que dans certains secteurs du marché et de l'économie. Ainsi, il est possible d'infliger des sanctions administratives aux entreprises soumises à la surveillance de l'Etat. L'Autorité fédérale de surveillance des 80 81 82 83 84 85 86
Aujourd'hui, art. 102 et 102a CP Art. 102, al. 2, CP.
Art. 2 à 9.
La liste comprend notamment les actes de corruption et le blanchiment d'argent.
Art. 102, al. 1, CP.
Infractions passibles d'une peine privative de liberté ou d'une peine pécuniaire; cf. art. 10 CP.
Cf. Niggli/Gfeller, Basler Kommentar, Bâle 2007, n. 113 ad art. 102.
4292
marchés financiers peut par exemple retirer leur autorisation d'exercer aux établissements bancaires qui ne remplissent plus les conditions ou qui ont enfreint gravement leurs obligations légales87.
Les sociétés et les établissements qui ont un but illicite ou contraire aux moeurs ne peuvent acquérir la personnalité. Elles doivent donc être dissoutes et leur fortune est dévolue à la corporation publique88. Si l'organisation d'une société présente des carences et que la situation légale n'est pas rétablie dans les délais fixés, le tribunal peut prononcer sa dissolution89. Enfin il existe des moyens et instruments civils pour engager la responsabilité d'entreprises pour le compte desquelles des infractions ont été commises par une personne qui exerce un pouvoir de direction en leur sein ou qui a négligé ses devoirs de surveillance concernant une infraction commise par un subordonné.
On peut considérer, en résumé, que le droit suisse répond largement aux exigences de l'art. 12 de la Convention. La norme suisse relative à la responsabilité pénale subsidiaire de l'entreprise va en partie plus loin que ne l'exige la Convention en garantissant que les crimes et délits commis dans le cadre du but de l'entreprise ne demeurent pas impunis lorsqu'ils ne peuvent être attribués à aucune personne physique en raison du manque d'organisation de l'entreprise. Pour instaurer une responsabilité pénale générale de l'entreprise, qui irait d'ailleurs au-delà de ce qu'exige la Convention, les seuls moyens seraient d'inclure les infractions visées par la Convention dans la disposition du code pénal statuant une responsabilité primaire de l'entreprise, sous forme de liste90 ou de manière générale91, ou de changer totalement de conception juridique dans le domaine de la responsabilité de l'entreprise.
Nous déconseillons cependant une modification aussi fondamentale étant donné que le droit suisse coïncide déjà très largement avec le contenu de la Convention.
Art. 13
Sanctions et mesures
Le par. 1 de cette disposition oblige les Etats Parties à prévoir des sanctions effectives, proportionnées et dissuasives, au nombre desquelles figure aussi la peine privative de liberté, afin de réprimer les infractions établies en application de la Convention. Le droit suisse en vigueur répond à cette exigence en ce sens que les infractions correspondantes sont toutes des délits au moins.
Le par. 2 dit que les personnes morales tenues pour responsables en application de l'art. 12 doivent elles aussi faire l'objet de sanctions ou de mesures pénales ou non pénales répondant aux mêmes critères, celles-ci comprenant aussi des sanctions pécuniaires. Le droit suisse satisfait à ces exigences de la Convention en ce sens que les jugements et décisions rendus par des autorités civiles ou administratives peuvent prévoir des sanctions de nature pécuniaire à l'encontre d'entreprises fautives, paral-
87 88 89
90
91
Art. 23quinquies de la loi du 8 novembre 1934 sur les banques (RS 952.0).
Art. 52 et 57 du code civil (RS 210).
Art. 731b du code des obligations, RS 220. Cette disposition, entrée en vigueur le 1er janvier 2008, a provoqué un accroissement considérable du nombre d'ouvertures de faillite, selon les statistiques.
C'est ce qu'on a fait au titre de la mise en oeuvre de la Convention pénale du Conseil de l'Europe sur la corruption dont il a été question plus haut, mais les infractions visées par cette Convention ont un lien incomparablement plus étroit avec l'activité économique de l'entreprise.
Par ex. en étendant la responsabilité primaire de l'entreprise à tous les crimes et délits.
4293
lèlement à la responsabilité pénale subsidiaire des entreprises92, lesquelles encourent à ce titre des amendes allant jusqu'à cinq millions de francs. Ces sanctions sont effectives, proportionnées et dissuasives.
Art. 14
Portée d'application des mesures du droit de procédure
Le par. 2, let. b, pose le principe selon lequel les dispositions du droit de procédure prévues aux art. 14 à 21 s'appliquent non seulement à la poursuite d'infractions au sens de la Convention, mais aussi, et de manière générale, à toutes les infractions commises au moyen d'un système informatique. Le par. 2, let. c, précise que ces dispositions s'appliquent à la collecte des preuves électroniques de toute infraction pénale. Par cette disposition, la Convention entend garantir que les données électroniques enregistrées dans le cadre de procédures pénales puissent également être utilisées comme moyen de preuve, au même titre que des preuves non électroniques93.
C'est en considération de ce champ d'application étendu qu'il convient d'examiner dans quelle mesure le droit de procédure nécessite d'être adapté et si notamment les règles concernant la surveillance, le séquestre, la confiscation et, de manière générale, l'administration des preuves s'appliquent aux médias électroniques.
Sur le plan national, le droit de procédure au sens large repose d'une part sur les codes de procédure pénale de la Confédération et des cantons et d'autre part sur la loi fédérale du 6 octobre 2000 sur la surveillance de la correspondance par poste et télécommunication (LSCPT)94 et son ordonnance d'exécution l'OSCPT95, entrées en vigueur le 1er janvier 2002. La LSCPT continuera de s'appliquer après l'entrée en vigueur du code de procédure pénale du 5 octobre 2007 (CPP)96 (exécution de la surveillance), mais les règles de procédure pénale qu'elle contient97 seront intégrées dans ce code. Nous nous réfèrerons ici au droit actuel, sauf lorsque le CPP prévoit de nouvelles normes importantes.
L'art. 14, par. 3, let. b, de la Convention porte sur les «groupes d'utilisateurs fermés», par exemple les réseaux informatiques internes d'une entreprise. Selon les art. 1, al. 4, et 15, al. 8, LSCPT, les exploitants de réseaux de télécommunication internes et de centraux domestiques sont tenus de tolérer une surveillance et de fournir les renseignements nécessaires. Il est donc en principe possible de se procurer et de sauvegarder les données dans ce cadre, même dans le domaine non public98.
Art. 15
Conditions et sauvegardes
L'art. 15 prévoit l'obligation pour les Etats Parties de respecter les droits de l'homme et les libertés fondamentales et de les garantir dans ce contexte. En particulier, le principe de la proportionnalité des actes de procédure doit être respecté; le type de mesures de contrainte doit correspondre à la gravité et au genre de 92 93 94 95 96 97 98
Cf. commentaire de l'art. 12.
Ch. 141 du rapp. expl. (lien disponible sous note 1).
RS 780.1 RS 780.11 FF 2007 6583, entrée en vigueur le 1.1.2011.
Art. 3 à 10 LSCPT.
Sous réserve naturellement de la disponibilité des données. Les exploitants de réseaux internes ne sont pas tenus de conserver les données.
4294
l'infraction faisant l'objet de l'instruction et ne pas être disproportionné en termes de conséquences ni de temps requis.
Art. 16
Conservation rapide de données informatiques stockées
L'art. 16 de la Convention oblige les Etats Parties à faire en sorte que les autorités d'instruction compétentes puissent ordonner ou obtenir la conservation rapide de données informatiques stockées99. Lorsque les autorités ordonnent à une personne, par exemple un fournisseur de service, de conserver des données, cette personne est tenue de les préserver contre toute modification pendant une période déterminée.
Les codes de procédure pénale en vigueur en Suisse permettent de conserver rapidement les données électroniques, en respectant le principe de la proportionnalité, dans le cadre de la collecte et de la conservation des moyens de preuve ordonnées par les autorités d'instruction. Le CPP100 considère les données et supports de données électroniques comme des moyens de preuve matériels, qui peuvent être versés au dossier101 ou soumis à une perquisition102.
La Convention suggère qu'une conservation immédiate peut aussi être obtenue en obligeant des tiers (dignes de confiance) à conserver des données («injonctions de conservation»). Toutefois, elle n'oblige pas les Etats Parties à prévoir une telle solution103. Pour répondre à ses exigences, il suffit que l'autorité compétente puisse assurer elle-même la conservation des données, après saisie des moyens de preuve.
Le droit suisse en vigueur satisfait de manière générale à cette exigence, du moins partiellement, c'est-à-dire en ce qui concerne certaines données en possession des fournisseurs de services Internet. La LSCPT exige de ces derniers qu'ils conservent les données relatives au trafic et à la facturation pendant une période de six mois104.
Les fournisseurs peuvent aussi être enjoints, par une décision de l'autorité compétente, de conserver provisoirement des données. Conférer à l'autorité la compétence d'ordonner à toute personne de conserver des données irait toutefois trop loin dans ce contexte et ne serait guère compatible avec l'art. 15 de la Convention (principe de proportionnalité). Le droit suisse actuel répond donc de manière satisfaisante aux exigences de cette disposition de la Convention.
99
100 101 102 103 104
Y compris les données de transmission, c'est-à-dire les données relatives au moyen, à la durée et à l'heure de la communication ainsi qu'aux personnes impliquées. Cf. art. 2, let. g, OSCPT.
Cf. commentaire de l'art. 14 de la Convention.
Art. 192 ss CPP.
Art. 246 ss CPP.
Voir ch. 160 du rapp. expl. (lien disponible sous note 1).
Art. 15, al. 3, LSCPT: données d'identification et données relatives au trafic et à la facturation. Il est prévu que le délai de conservation obligatoire soit étendu à un an à l'occasion de la révision de la LSCPT (bien que la Convention ne l'exige pas; voir ch. 161 in fine du rapp. expl., lien disponible sous note 1). Voir aussi l'arrêt de la Cour constitutionnelle allemande du 2 mars 2010, selon lequel la conservation «préventive» de données (Vorratsdatenspeicherung) n'est licite qu'à de strictes conditions de droit constitutionnel et en relation avec des infractions graves, mais non de manière générale (www.bundesverfassungsgericht.de).
4295
Art. 17
Conservation et divulgation rapides de données relatives au trafic
L'art. 17 de la Convention exige que les données relatives au trafic105 au sens de l'art. 16 puissent également être conservées dans le cas où plusieurs fournisseurs de services ont participé à la transmission de la communication (par. 1, let. a).
Le droit suisse satisfait aux exigences du par. 1, let. a. Selon l'art. 15, al. 3, LSCPT, les fournisseurs sont tenus de conserver durant six mois les données permettant l'identification des usagers ainsi que les données relatives au trafic et à la facturation. Si plusieurs fournisseurs participent à la communication, l'autorité donne à l'un d'eux un mandat officiel de surveillance, si bien que tous les autres sont tenus de lui transmettre les données en leur possession (art. 15, al. 2, LSCPT). Le fait que plusieurs fournisseurs de services aient participé à une communication n'empêche donc en rien la conservation rapide de données relatives au trafic.
L'art. 17, par. 1, let. b, de la Convention prévoit que le fournisseur de services que l'on oblige à conserver les données relatives au trafic les divulgue aux autorités compétentes de manière à leur permettre d'identifier les autres fournisseurs et la voie par laquelle la communication a été transmise. L'autorité qui en fait la demande doit spécifier de manière suffisamment précise quelles données doivent lui être transmises. Il n'est pas encore question, à ce stade, d'identifier nommément l'auteur ou le destinataire d'une information106.
Après l'entrée en vigueur du CPP, le ministère public pourra exiger, pour tous les crimes et délits, que lui soient fournies les données permettant l'identification des usagers (auteur, destinataire et moment de la transmission) ainsi que les données relatives au trafic et à la facturation (art. 273 CPP). L'ordre de surveillance devra être soumis à l'autorisation du tribunal des mesures de contrainte, mais indépendamment d'une liste d'infractions et avec la possibilité de demander des données avec effet rétroactif. Le fait que cette disposition ne s'applique pas aux simples contraventions n'est pas incompatible avec la Convention, en vertu du principe de proportionnalité107. Le droit suisse actuel satisfait donc aux exigences de la Convention.
Par ailleurs, l'art. 14, al. 4, LSCPT restera applicable à toutes les infractions commises au moyen d'Internet108. Il contraint
le fournisseur à donner à l'autorité compétente toutes les indications dont il dispose permettant d'identifier l'auteur. En font partie les données qui permettent de déterminer le «chemin de communication».
L'art. 14, al. 4, LSCPT s'applique à l'ensemble du domaine Internet109 et se réfère
105
106 107 108 109
Les données relatives au trafic données concernant l'origine, la destination, la durée ou l'itinéraire de la communication ne comprennent pas forcément l'adresse ou l'identité de l'expéditeur (art. 1, let. d, de la Convention, cf. ch. 30 du rapp. expl., lien disponible sous note 1). Il peut s'agir d'une adresse IP. Les Etats Parties sont libres de protéger les catégories de données de leur choix (ch. 31 du rapp. expl.).
Voir ch. 169 du rapp. expl. (lien disponible sous note 1).
Art. 15 de la Convention.
Ce terme peut être considéré comme restrictif par rapport aux infractions commises «au moyen d'un système informatique».
Cf. décision de la commission de recours du DETEC du 27.4.2004, J-2003-162; consultable à l'adresse http://www.reko-inum.admin.ch.
4296
tant aux adresses IP statiques que dynamiques110. Dans les deux cas, il ne s'agit pas d'une mesure de surveillance au sens ordinaire de la LSCPT; l'autorité d'instruction peut directement présenter une demande au service compétent, indépendamment du type d'infraction invoqué111.
Art. 18
Injonction de produire
Selon l'art. 18, par. 1, let. a, de la Convention, l'autorité d'instruction doit pouvoir obliger toute personne à communiquer les données informatiques enregistrées dont elle dispose. Cette disposition a son équivalent en droit suisse (obligation de produire des pièces appliquée aux personnes non accusées) et se retrouvera aussi dans le CPP112. En cas de refus, il est possible d'ordonner des mesures de contrainte.
En outre, les fournisseurs de service (par. 1, let. b) doivent être tenus de communiquer, sur injonction de l'autorité compétente, les données relatives aux abonnés113, mais non les données relatives au trafic ou aux contenus. Cette disposition de la Convention ne règle donc pas l'identification des participants à une transmission de données concrète. Elle porte sur l'identification de participants possibles au réseau.
La question de leur surveillance ne se pose pas114. Comme on l'a exposé à propos de l'art. 17 de la Convention, l'autorité d'instruction peut demander des informations sur les données permettant l'identification des usagers et sur les données de trafic et de facturation pour tous les crimes et délits115. L'ordre de surveillance devra être soumis à l'autorisation du tribunal des mesures de contrainte, mais indépendamment d'une liste d'infractions et avec la possibilité de demander des données avec effet rétroactif.
L'art. 14, al. 4, LSCPT s'applique ici également116. Le fournisseur doit en particulier livrer le nom et l'adresse du participant et d'autres paramètres de communication au sens de la loi du 30 avril 1997 sur les télécommunications117.
L'art. 18, par. 1, let. b, de la Convention se limite à des données dont dispose le fournisseur et ne prescrit pas à ce dernier quelles informations doivent être conservées (donc aptes à être produites), ni combien de temps. Si, en l'espèce, les données ne sont pas (ou plus) disponibles sur la base de la réglementation nationale, cela ne crée pas une divergence avec la Convention.
Le droit suisse répond donc aux exigences de l'art. 18 de la Convention, notamment si l'on tient compte des dispositions du CPP.
110
111 112 113 114 115 116 117
Une adresse IP statique (protocole Internet) est formée d'une série unique de quatre nombres attribuée à un ordinateur relié à Internet. L'adresse IP dynamique n'est pas durablement attribuée à un raccordement fixe. Elle est mise à la disposition de l'utilisateur par le fournisseur de services pour la durée de la session Internet. Chaque jour, un grand nombre d'utilisateurs utilisent la même adresse. Techniquement, il faut chercher dans le fichier journal pour retrouver l'utilisateur de l'adresse à un moment donné dans le passé.
La liste d'infractions de l'art. 3 LSCPT n'est pas applicable.
Cf. art. 263 ss CPP, notamment art. 265 (Obligation de dépôt).
Par ex. identité de l'abonné, informations sur les paiements.
La liste d'infractions de l'art. 3 LSCPT n'est pas applicable.
Art. 273 CPP.
Cf. plus haut.
RS 784.10
4297
Art. 19
Perquisition et saisie de données informatiques stockées
L'art. 19, par. 1 et 3, de la Convention engage les Etats Parties à prévoir des règlementations habilitant les autorités compétentes à perquisitionner et à saisir des données informatiques enregistrées et des supports de données sur leur territoire.
L'objectif est de garantir que les données informatiques puissent être saisies comme les biens meubles et que les autorités puissent y accéder à cette fin. La saisie de l'ordinateur lui-même doit également être possible118. Les conditions de la perquisition doivent être les mêmes que lors d'une recherche classique de moyens de preuve.
Il ne s'agit pas ici de questions de droit des télécommunications ou de surveillance des télécommunications, mais d'une matière régie par les règles nationales concernant l'acquisition et la conservation des preuves. Ces dernières années, de nombreux cas119 ont montré que les codes de procédure pénale cantonaux répondaient de manière suffisante à ces exigences et qu'il était possible en pratique de perquisitionner et de saisir des données et des ordinateurs. Le CPP prévoit lui aussi, en partie explicitement, la perquisition et le séquestre de données et supports informatiques120.
L'art. 19 se réfère aux données informatiques enregistrées et peut être appliqué en principe contre n'importe qui. Reste à savoir dans quelle mesure ces possibilités d'accès offertes aux autorités de poursuite pénale s'étendent aux données stockées chez les fournisseurs de service (par ex. les contenus appartenant aux abonnés) et s'il s'ensuit une restriction du secret des télécommunications. Le texte de la Convention ne livre aucun indice à ce sujet. Cependant, le rapport explicatif expose que les Etats demeurent libres, dans ce domaine, de protéger les communications en tant que telles. Par exemple, une information envoyée par mail, enregistrée provisoirement chez le fournisseur et qui n'a pas encore été appelée par le destinataire peut être considérée comme une partie de la communication121, ce qui lui confère une protection particulière: elle ne peut être divulguée par le fournisseur de services que sur décision de l'autorité, les conditions requises étant réunies. Les données ne sont plus protégées par le secret des télécommunications au moment où elles sont stockées sur un support matériel appartenant au destinataire. Elles peuvent alors
être séquestrées122. L'art. 19 de la Convention ne peut donc pas être utilisé pour saper ou éluder le secret des télécommunications.
Le par. 2 prévoit la possibilité que les autorités, ayant accédé à un premier système informatique, accèdent à un deuxième système pour le perquisitionner, dans les limites du droit. L'extension de la perquisition, par exemple à un système informatique relié au premier, peut donc être prévue par le droit national. La disposition interdit expressément la perquisition de supports de données sur le territoire d'un autre Etat à moins que certaines conditions bien particulières ne soient réunies (art. 32 de la Convention) ou que l'entraide judiciaire n'ait été accordée. Il est aujourd'hui possible, dans certains cas et en vertu du droit suisse, d'accéder à un
118 119
Voir ch. 187 du rapp. expl. (lien disponible sous note 1).
Notamment lors d'enquêtes de la police et du juge d'instruction dans le domaine de la pornographie enfantine.
120 Art. 246 ss et 263 ss CPP.
121 Voir ch. 190 du rapp. expl. (lien disponible sous note 1).
122 Le cas est comparable à un courrier postal qui est protégé par le secret postal. Un jour plus tard, intégrée par exemple à la comptabilité du destinataire, la lettre peut être séquestrée au cours d'une perquisition puis appréciée.
4298
système relié à un autre système informatique dans le cadre de la perquisition123. Il faut cependant que l'autorisation de perquisitionner lui soit étendue. La formulation de la disposition de la Convention124 tient compte de ce fait.
L'art. 19, par. 4, de la Convention prévoit une obligation pour les tiers (par ex. un administrateur de système) d'informer les autorités afin que celles-ci puissent accéder aux données. La LSCPT prévoit une obligation de ce type dans certains domaines125. Le devoir de coopération mentionné par la Convention reste raisonnable et proportionné. Ainsi, la divulgation d'un mot de passe à la demande de l'autorité peut être raisonnable dans certains cas mais non dans d'autres126.
Ces obligations vont-elles au-delà de l'obligation de témoigner usuelle en procédure pénale ou de l'obligation des tiers de produire des pièces127? Vu que la Convention limite l'obligation de fournir des informations à des cas raisonnablement nécessaires, après injonction de l'autorité, la possibilité qu'offre le droit suisse aux autorités d'instruction d'ordonner la production de pièces satisfait sans doute aux exigences de ce texte. Il ressort en particulier du rapport explicatif que la norme vise les administrateurs de systèmes ou les personnes disposant d'une fonction de surveillance similaire sur un système informatique. Dans ces cas-là, le droit suisse permet d'examiner dans le cas d'espèce dans quelle mesure la personne concernée a une position de garant, ce qui permet de sanctionner la contravention contre une ordonnance de production de pièces en vertu de l'art. 305 CP128.
Art. 20
Collecte en temps réel de données informatiques
L'art. 20 de la Convention régit la collecte en temps réel de données relatives au trafic par les autorités compétentes. Les Etats Parties doivent habiliter celles-ci à obliger les fournisseurs de services à collecter ou enregistrer ces données. La Convention autorise les Etats à dresser une liste d'infractions comme condition de ces mesures et à émettre une réserve à ce sujet129.
Le droit suisse permet de collecter en temps réel les données permettant l'identification des usagers (de même que les données relatives aux contenus). Ce type de surveillance ne peut toutefois être exercé que dans le cadre des infractions listées dans la LSCPT130. Cette liste est reprise dans le CPP pour ce qui est des données relatives aux contenus. Quant aux données relatives au trafic et à la facturation ainsi qu'aux données permettant l'identification des usagers, le CPP va plus loin que la LSCPT puisqu'il permet aux autorités de les demander en cas de crime ou de délit131. Puisqu'il est possible d'émettre une réserve conformément à l'art. 14, par. 3, de la Convention, aucune adaptation du droit suisse n'est nécessaire.
123 124 125 126 127 128 129 130 131
Concernant certains réseaux, l'autorité d'instruction n'est pas forcément consciente du fait que les systèmes sont reliés.
«Légalement accessible».
Art. 14, al. 4, et 15, al. 8, LSCPT.
Voir ch. 202 du rapp. expl. (lien disponible sous note 1) et art. 15 de la Convention.
L'obligation de produire des pièces n'implique pas pour les tiers qu'ils doivent coopérer à la recherche de preuves; voir art. 265 CPP.
Entrave à l'action pénale; cf. ATF 120 IV 106.
Art. 14, par. 3, en relation avec l'art. 42 de la Convention.
Art. 3 LSCPT.
Indépendamment de la liste des infractions; art. 273 CPP.
4299
Art. 21
Interception de données relatives au contenu
L'art. 21 de la Convention règle la collecte en temps réel de données relatives au contenu par les autorités compétentes. Celles-ci ne peuvent y recourir ou y obliger un fournisseur qu'en relation avec un éventail d'infractions graves, déterminées par chaque Etat Partie, par exemple sous forme de liste. En Suisse, il est possible d'ordonner la surveillance en temps réel et l'enregistrement de données relatives au contenu d'une communication, en relation avec une des infractions de la liste de l'art. 3 LSCPT. Il n'y a donc pas lieu d'adapter la législation.
Art. 22
Compétence
La Convention distingue entre compétence obligatoire et facultative des Etats Parties à l'égard des infractions pénales décrites dans la Convention, selon que l'infraction est commise sur leur territoire (principe de la territorialité, let. a du par. 1, disposition impérative) ou qu'elle est commise à bord d'un navire battant pavillon de l'Etat concerné (principe du pavillon, par. 1, let. b) ou d'un aéronef immatriculé selon les lois de cet Etat (par. 1, let. c). Les tribunaux suisses sont compétents selon l'art. 3 CP, l'art. 4, al. 2, de la loi fédérale du 23 septembre 1953 sur la navigation maritime sous pavillon suisse132 et l'art. 97, al. 1, de la loi fédérale du 21 décembre 1948 sur l'aviation133.
Selon la let. d du par. 1, chaque Etat Partie doit se déclarer compétent lorsque l'infraction est commise par un de ses ressortissants, si elle est punissable pénalement là où elle a été commise ou qu'elle ne relève de la compétence territoriale d'aucun Etat. La compétence des tribunaux suisses dans ce cas est établie par l'art. 7, al. 1, let. a, CP (principe de la personnalité active). Il n'y a donc pas lieu de déposer une réserve à ce sujet comme le permet l'art. 22, par. 2 (qui se réfère aux let. b à d).
Selon le par. 3 de cette disposition, les Etats Parties doivent établir leur compétence à l'égard de toute infraction visée par la Convention134 lorsque l'auteur présumé est présent sur leur territoire et ne peut être extradé vers un autre Etat Partie au seul titre de sa nationalité. La Suisse connaît cette obligation d'ouvrir une poursuite pénale en cas de non-extradition (aut dedere aut judicare), statuée à l'art. 6 CP. L'art. 7 EIMP135 dispose qu'aucun citoyen suisse ne peut être extradé sans son consentement à un Etat étranger pour y faire l'objet d'une poursuite pénale. La Convention européenne d'extradition du 13 décembre 1957136 règle l'extradition par les Etats de leurs propres ressortissants en son art. 6, qui prévoit la même obligation que la Convention sur la cybercriminalité. Les règles applicables à la poursuite pénale par délégation menée par la Suisse sont fixées aux art. 85 ss EIMP. Notons cependant que l'efficacité de ce type de poursuite dépend essentiellement des pièces de dossier et des moyens de preuve livrés par l'autre Etat.
132 133 134
RS 747.30 RS 748.0 L'infraction doit cependant être passible d'une peine privative de liberté d'au moins un an. Voir art. 24, par. 1, de la Convention.
135 RS 351.1 136 RS 0.353.1
4300
2.3
Chapitre III: Coopération internationale
Considérations générales Le système de coopération judiciaire internationale en matière pénale prévu dans la Convention a pour but de mettre en place un régime rapide et efficace de coopération137. Ce régime prévoit que, sauf disposition contraire expressément prévue, les traités internationaux entre les Etats Parties ainsi que leur législation nationale s'appliquent. La Convention prévoit cependant des règles spécifiques pour certaines mesures qui dérogent à l'éventuelle réglementation applicable138, notamment vu la rapidité requise pour les interventions peu compatibles avec la durée des procédures.
Sa mise en oeuvre nécessitera, vu la réglementation actuelle de la coopération judiciaire internationale en matière pénale, une modification de l'EIMP explicitée ci-dessous.
Art. 23
Principes généraux relatifs à la coopération internationale
L'art. 23 énonce que les Etats Parties doivent coopérer les uns avec les autres «dans la mesure la plus large possible». Ceci requiert de réduire autant que possible, au plan international, les obstacles à la circulation rapide et sans problème de l'information et des preuves. Cette clause, courante dans les instruments de lutte contre la criminalité, présente la particularité, en matière de cybercriminalité, de tendre à un échange plus rapide des informations que ce qui se produit dans les procédures habituelles de coopération judiciaire internationale pénale139. La portée générale de l'obligation de coopérer énoncée à l'art. 23 s'étend: a) à toutes les infractions pénales liées à des systèmes et données informatiques140; b) à la collecte de preuves sous forme électronique se rapportant à une infraction pénale141. Les clauses du chapitre III sont ainsi applicables soit aux situations où l'infraction est commise à l'aide d'un système informatique, soit à celles où une infraction ordinaire, non commise à l'aide d'un système informatique, donne lieu à la collecte de preuves sous forme électronique142.
Art. 24
Extradition
L'art. 24, clause usuelle, fixe que l'obligation d'extrader s'applique uniquement aux infractions définies aux art. 2 à 11 de la Convention. L'obligation d'extrader selon l'art. 24 est soumise à deux conditions cumulatives: la double incrimination143 et la peine privative de liberté pour une période maximale d'au moins un an d'empri137
138
139 140 141 142 143
La Suisse a diverses possibilités de coopération en dehors de l'entraide judiciaire, en particulier l'échange d'informations dans le cadre de Schengen, d'Interpol et des accords bilatéraux de coopération policière, mais aussi d'Europol avec qui elle est liée par une convention depuis 2004. Les instruments d'échange d'informations dont elle dispose vont au-delà de ce qu'exige la Convention.
Ainsi en va-t-il, en rapport avec la réglementation suisse, de la divulgation rapide de données stockées, régie par l'art. 30 de la Convention, lesquelles données doivent être transmises à l'autorité requérante avant la clôture de la procédure, ainsi que de l'entraide dans la collecte en temps réel de données relatives au trafic réglementée à l'art. 33.
Voir ch. 16, 20 et 242 du rapp. expl. (lien disponible sous note 1).
C'est-à-dire les infractions visées par l'art. 14, par. 2, let. a et b de la Convention.
Art. 14, par. 2, let. c.
Voir ch. 243 du rapp. expl. (lien disponible sous note 1).
Législation concernée des deux Etats Parties.
4301
sonnement, issues de l'art. 2, par. 1, de la Convention européenne d'extradition.
Concernant la peine requise pour pouvoir procéder à l'extradition, il est renvoyé aux développements relatifs aux art. 2 à 11. En droit suisse, l'art. 35 EIMP prévoit ces deux clauses. En relation avec l'art. 24, par. 1 à 4, la Suisse ne subordonne pas l'extradition à l'existence d'un traité144.
Selon l'art. 24, par. 5, l'extradition est soumise aux conditions prévues par le droit interne. La Suisse les règle aux art. 32 ss EIMP. Ainsi notre pays, en qualité d'Etat Partie requis, n'est pas tenu d'extrader s'il estime que les conditions prévues par le traité ou le droit interne applicables145 ne sont pas réalisées, car la coopération est mise en oeuvre selon les instruments en vigueur entre les Parties, dont la Convention européenne d'extradition du 13 décembre 1957 et ses deux Protocoles additionnels146.
L'art. 24, par. 6, exprime le principe aut dedere, aut judicare, soit extrader ou poursuivre. Les citoyens suisses ne peuvent être extradés qu'avec leur consentement écrit147. En cas de refus de la personne concernée et à la demande de la Partie requérante, la Suisse poursuivra148 ladite personne en application de l'art. 24, par. 6, de la Convention et de l'art. 7, al. 1, CP. La Suisse renseignera la Partie requérante de l'issue de l'affaire. Par contre, si la Partie dont la demande d'extradition a été rejetée ne demande pas que l'affaire soit soumise aux autorités compétentes aux fins d'enquête et de poursuites, la Suisse ne sera pas tenue d'intervenir149.
L'art. 24, par. 7, nécessite une communication de la Suisse au Secrétaire général du Conseil de l'Europe, selon laquelle l'Office fédéral de la justice (OFJ) est l'autorité suisse responsable des demandes d'extradition et d'arrestation provisoire150.
L'application de cette disposition est limitée aux cas où aucun traité151 n'a été conclu entre les Parties concernées. La désignation d'une autorité n'exclut cependant pas la possibilité de recourir à la voie diplomatique152.
144 145
146 147 148 149
150 151
152
Art. 1, al. 1, let. a EIMP.
L'art. 37 EIMP prévoit notamment que l'extradition est refusée si la demande se fonde sur une sanction prononcée par défaut et que la procédure de jugement n'a pas satisfait aux droits minimums de la défense reconnus à toute personne accusée d'une infraction.
Cette disposition ajoute que l'extradition est également refusée si l'Etat requérant ne donne pas la garantie que la personne poursuivie ne sera pas condamnée à mort ou, si une telle condamnation a été prononcée, qu'elle ne sera pas exécutée, ou que la personne poursuivie ne sera pas soumise à un traitement portant atteinte à son intégrité corporelle.
RS 0.353.1, 0.353.11 et 0.353.12 Art. 7 EIMP.
L'enquête et les poursuites doivent être menées avec célérité et avec le même sérieux que pour toute autre infraction de nature comparable qui serait instruite.
Si aucune demande d'extradition n'a été présentée ou que l'extradition a été refusée pour une raison autre que la nationalité, la Suisse n'aura aucune obligation de saisir ses autorités aux fins de poursuites. Voir ch. 251 du rapp. expl. (lien disponible sous note 1).
Art. 17, al. 2, EIMP.
En effet, si un traité d'extradition bilatéral ou multilatéral, telle la CEExtr. précitée, est en vigueur entre les Parties, celles-ci savent à qui adresser les demandes d'extradition ou d'arrestation provisoire sans qu'il soit besoin de tenir le registre des autorités concernées.
Voir ch. 252 du rapp. expl. (lien disponible sous note 1).
4302
Art. 25
Principes généraux relatifs à l'entraide
L'art. 25 oblige les Etats Parties (comme il ressort aussi de l'art. 23) à coopérer pour une très vaste catégorie d'infractions153. Selon l'art. 25, par. 2, de la Convention, la Suisse doit mettre en place les fondements juridiques lui permettant d'accorder les formes spécifiques de coopération décrites, en particulier celles figurant dans les art. 27 et 29 à 35 de la Convention. Ces mécanismes sont indispensables à une coopération efficace dans les affaires pénales en relation avec l'ordinateur154. Le détail de ces adaptations législatives est présenté ci-dessous.
L'art. 25, par. 3, de la Convention institue un moyen rapide d'entraide, compte tenu du caractère très volatile des données informatiques et de leur durée parfois très courte de conservation. La demande comme la réponse doivent pouvoir être promptes. L'art. 25, par. 3, institue l'entraide accélérée pour éviter que des informations ou des preuves essentielles ne soient perdues. La Convention atteint ce résultat d'une part en autorisant les Etats Parties à présenter, en cas d'urgence, une demande de coopération par des moyens rapides de communication155, et d'autre part en imposant à la Partie requise de répondre à une telle demande par des moyens rapides de communication. Chaque Etat Partie doit se donner les moyens d'appliquer cette mesure156. Les Etats Parties peuvent convenir de garanties de sécurité spéciales, dont le cryptage dans des affaires particulièrement délicates157. La Partie requise peut exiger une confirmation officielle ultérieure, transmise par les voies classiques, ce qui correspond à la pratique suisse.
L'art. 25, par. 4, de la Convention énonce le principe général selon lequel l'entraide est soumise aux conditions fixées par les traités d'entraide et les dispositions du droit interne158. Cette clause usuelle vaut particulièrement concernant les mesures intrusives telles une opération de perquisition et de saisie qui sera exécutée uniquement si la Partie requise a la certitude que les conditions nécessaires à son prononcé sont réalisées. Cette réglementation ne s'applique cependant pas en cas de «disposition contraire expressément prévue dans le présent chapitre». La Convention contient plusieurs dérogations au principe général159, notamment concernant les motifs de refus de l'entraide160. La coopération ne peut être refusée, selon l'art. 25, par. 4, pour les infractions des art. 2 à 11 de la Convention, au seul motif que l'infraction 153 154 155 156 157 158 159
160
Les art. 33 et 34 autorisent la modification du champ d'application de ces mesures; il est donc renvoyé aux explications desdites dispositions.
Voir ch. 254 du rapp. expl. (lien disponible sous note 1) Et non par les moyens classiques de transmission de documents écrits sous pli cacheté par la valise diplomatique ou par la poste.
La télécopie et le courrier électronique sont mentionnés à titre indicatif. Tout autre moyen rapide de communication, adapté aux circonstances d'espèce, peut être utilisé.
Voir ch. 256 du rapp. expl. (lien disponible sous note 1).
Ceci afin de garantir les droits des personnes se trouvant sur le territoire de la Partie requise pouvant faire l'objet d'une demande d'entraide.
Voir ch. 258 du rapp. expl. (lien disponible sous note 1): la première de ces dérogations découle de l'art. 25, par. 2, de la Convention, en vertu duquel chaque Partie est tenue d'accorder les formes de coopération énoncées dans les autres articles du chapitre (telles que la conservation, la collecte en temps réel de données, la perquisition et la saisie et la gestion d'un réseau 24/7), indépendamment de la question de savoir si ces mesures sont déjà inscrites dans ses instruments internationaux d'entraide ou sa législation en matière d'entraide. Une autre dérogation se trouve à l'art. 27 qui est toujours applicable à l'exécution de requêtes à la place d'une disposition du droit interne de la Partie requise régissant la coopération internationale en l'absence d'un traité d'entraide ou arrangement équivalent entre la Partie requérante et la Partie requise.
Voir également les explications présentées pour l'art. 27, par. 4.
4303
est considérée de nature fiscale, ce qui ne paraît pas problématique, car ces infractions ne constituent pas, en soi, des infractions fiscales.
L'art. 25, par. 5, fixe une clause habituelle relative à la double incrimination161.
Art. 26
Information spontanée
L'art. 26 étend à l'entraide une disposition dont l'origine se trouve à l'art. 10 de la Convention du 8 novembre 1990 relative au blanchiment, au dépistage, à la saisie et à la confiscation des produits du crime162 et à l'art. 28 de la Convention pénale du 27 janvier 1999 sur la corruption163. Une réglementation en la matière se trouve également dans la plupart des traités actuels bilatéraux d'entraide judiciaire en matière pénale ainsi que dans l'art. 11 du Deuxième Protocole additionnel du 8 novembre 2001 à la Convention européenne d'entraide judiciaire en matière pénale164, lequel, comme l'art. 26 de la Convention, contient aussi une clause de confidentialité. L'art. 26, disposition potestative, crée la possibilité pour les Parties, sans demande préalable, et éventuellement, selon son par. 2, sous condition165, de se communiquer des informations sur des investigations ou des procédures dans leur objectif commun de lutte contre la criminalité166. L'échange d'informations s'effectue conformément au droit national. En Suisse, l'art. 67a EIMP (Transmission spontanée de moyens de preuve et d'informations) en fixe les conditions.
Art. 27
Procédures relatives aux demandes d'entraide en l'absence d'accords internationaux applicables
L'art. 27 reprend des principes d'autres instruments dont la Suisse est partie.
L'art. 27, par. 1, prévoit que l'entraide se déroule selon les conventions et traités d'entraide correspondants, comme la Convention européenne d'entraide judiciaire en matière pénale du 20 avril 1959 (CEEJ)167 ou son Deuxième Protocole additionnel précité. Les mécanismes d'entraide de criminalité informatique, fixés aux art. 29 à 35 de la Convention, supposent toutefois la mise en place de fondements juridiques si le droit applicable de l'Etat Partie concerné est insuffisant.
L'art. 27, par. 2 à 10, prévoit des règles régissant l'entraide en l'absence de traité, parmi lesquelles la création d'une autorité centrale, l'imposition de conditions, les 161
162 163 164 165
166
167
Voir ch. 259 du rapp. expl. (lien disponible sous note 1): en effet, vu les différences entre les ordres juridiques nationaux, des différences de terminologie et de classement des comportements criminels peuvent être constatés. Si le comportement constitue une infraction pénale dans les deux ordres juridiques, ces différences d'ordre technique ne devraient pas empêcher l'octroi de l'entraide. Dans les affaires auxquelles le critère de la double incrimination est applicable, il devrait l'être d'une façon souple, de nature à faciliter l'octroi de l'assistance.
RS 0.311.53 RS 0.311.55; voir ch. 260 du rapp. expl. (lien disponible sous note 1).
RS 0.351.12 La Partie destinataire n'est liée par la Partie d'envoi que dans la mesure où la Partie destinataire accepte l'information spontanée: en acceptant l'information, elle accepte également d'être tenue de respecter les conditions dont est assortie la transmission de ladite information. En ce sens, l'art. 26 de la Convention représente quelque chose qui est «à prendre ou à laisser».
La criminalité ne s'arrête pas aux frontières et les informations récoltées par une Partie lors de ses investigations sont souvent susceptibles d'intéresser les autorités d'une autre Partie.
RS 0.351.1
4304
motifs et procédures en cas d'ajournement ou de refus, la confidentialité des requêtes et les communications directes. Cette réglementation se substitue donc aux dispositions de droit interne. L'art. 27 ne règle pas d'autres questions168.
L'art. 27, par. 2, nécessite une communication de la Suisse au Secrétaire général du Conseil de l'Europe indiquant qui exercera la tâche d'autorité centrale chargée d'envoyer les demandes d'entraide ou d'y répondre en l'absence d'accord international. De même que concernant la déclaration émise en relation avec la CEEJ, il convient de préciser que l'OFJ est l'autorité centrale compétente pour recevoir ou transmettre toutes les demandes d'entraide judiciaire. Lié à ce qui précède, l'art. 27, par. 9, let. e, autorise les Etats Parties à faire une déclaration énonçant que, pour des raisons d'efficacité, les demandes faites sous ce paragraphe devront être adressées à son autorité centrale. En application de cette disposition, toutes les demandes devront être adressées à l'OFJ, ce qui suppose un surplus de travail et un besoin supplémentaire en personnel. Les demandes d'entraide adressées à l'OFJ ne concerneront pas uniquement la répression d'infractions informatiques, mais également la récolte de preuves relatives à toutes autres infractions pénales, détenues sous forme électronique169. L'OFJ doit également s'attendre à être régulièrement consulté par les autorités suisses et étrangères pour donner avis et conseils sur les procédures applicables. Cette mission d'information se doublera, lors de l'exécution de demandes d'entraide adressées à la Suisse, d'une mission de contrôle accrue des décisions rendues par les autorités d'exécution suisses.
L'art. 27, par. 3, oblige la Partie requise à exécuter les demandes conformément à la procédure spécifiée par la Partie requérante, à moins qu'elle soit incompatible avec sa législation. Une telle réglementation se trouve dans d'autres traités internationaux170 et a pour but de pouvoir donner suite aux règles de preuve171. L'art. 27, par. 4, permet de refuser d'exécuter les demandes d'entraide pour les motifs de l'art. 25, par. 4, de la Convention172, si l'infraction est considérée par la Partie requise comme politique ou liée à une infraction politique et si le fait d'accéder à la demande risque de porter atteinte à la souveraineté de l'État, à la sécurité, à l'ordre public ou à d'autres intérêts essentiels de la Partie requise173. L'art. 27, par. 5, clause 168
169 170
171
172 173
Ainsi, par exemple, on n'y trouve aucune disposition concernant la forme et le contenu des requêtes, l'audition de témoins dans les Parties requise ou requérante, l'établissement de documents officiels, le transfert de témoins incarcérés ou l'assistance en matière de confiscation. En ce qui concerne ces questions, il découle de l'art. 25, par. 4, qu'en l'absence de disposition spécifique dans le présent chapitre, le droit interne de la Partie requise fixe les modalités de l'octroi de ce type d'entraide, donc pour la Suisse c'est l'EIMP qui s'applique. Voir ch. 264 du rapp. expl. (lien disponible sous note 1).
Art. 25, par. 1.
Notamment art. V de l'Accord du 10 septembre 1998 entre la Suisse et l'Italie en vue de compléter la Convention européenne d'entraide judiciaire en matière pénale du 20 avril 1959 et d'en faciliter l'application (RS 0.351.945.41) et art. 9 du Traité du 25 mai 1973 entre la Confédération suisse et les Etats-Unis d'Amérique sur l'entraide judiciaire en matière pénale (RS 0.351.933.6).
Selon l'objectif d'assurer le respect des dispositions du droit interne régissant l'admissibilité des preuves dans l'Etat requis, afin de pouvoir utiliser lesdites preuves en justice, voir ch. 267 du rapp. expl. (lien disponible sous note 1).
C'est-à-dire les motifs prévus par le droit interne de la Partie requise.
Au nom du principe supérieur consistant à accorder l'entraide la plus large possible, les motifs de refus établis par une Partie requise doivent être limités et invoqués avec modération. Par conséquent, outre les motifs de refus visés à l'art. 28 de la Convention, le refus d'entraide au motif de la protection des données ne peut être invoqué que dans des cas exceptionnels.
4305
habituelle, permet à la Partie requise d'ajourner, non de refuser, l'exécution d'une demande d'entraide si l'exécution immédiate des mesures visées par la demande risquerait de porter préjudice à des enquêtes ou procédures conduites par ses autorités174. Selon l'art. 27, par. 6, dans les cas où elle serait normalement amenée à refuser ou ajourner sa coopération, la Partie requise peut l'assortir de conditions. Si celles-ci ne conviennent pas à la Partie requérante, la Partie requise peut les modifier, ou refuser sa coopération, ou y surseoir. L'art. 27, par. 7, de la Convention oblige la Partie requise à informer la Partie requérante de la suite qu'elle entend donner à sa demande d'entraide et de motiver tout refus ou ajournement de l'entraide. Selon l'art. 27, par. 8, la Partie requérante peut demander à la Partie requise que le fait et l'objet de la requête restent confidentiels175. La Suisse a accepté une telle clause dans le Deuxième Protocole additionnel à la CEEJ176.
L'art. 27, par. 9, institue une rapidité de communication: les autorités centrales selon l'art. 27, par. 2, communiquent directement entre elles. Les demandes peuvent aussi être transmises par Interpol177. Les demandes devront être adressées directement à l'autorité centrale suisse (OFJ).
Art. 28
Confidentialité et restriction d'utilisation
L'art. 28 prévoit des restrictions à l'utilisation d'informations ou de matériel afin de permettre à la Partie requise, lorsque ces informations ou ce matériel sont de nature particulièrement délicate, de s'assurer que leur utilisation est limitée à celle en vue de laquelle l'entraide est accordée. Comme l'art. 27 de la Convention, l'art. 28 ne s'applique que lorsqu'il n'existe pas d'instrument en vigueur entre les Parties requérante et requise178. L'art. 28, par. 2, permet à la Partie requise de fixer deux types de conditions: a) les informations ou le matériel fournis restent confidentiels lorsque la demande ne pourrait être respectée sans cette condition179; b) la communication d'informations ou de matériel ne servent pas aux fins d'autres enquêtes ou procé174
175
176 177
178
179
Ainsi, par exemple, si la Partie requérante a demandé la communication de preuves ou la déposition d'un témoin aux fins d'enquête ou de procès, et que les mêmes preuves ou dépositions sont nécessaires au déroulement d'un procès sur le point de commencer dans la Partie requise, celle-ci pourra valablement surseoir à l'exécution desdites mesures.
Voir ch. 270 du rapp. expl. (lien disponible sous note 1).
Il peut en effet arriver qu'une Partie fasse une demande d'entraide à propos d'une affaire très délicate ou d'une affaire pour laquelle la divulgation prématurée des faits ayant motivé la requête pourrait avoir des conséquences désastreuses. Toutefois, la confidentialité ne peut être sollicitée que dans la mesure où elle n'empêche pas la Partie requise d'obtenir les preuves ou les informations demandées. Il en irait ainsi, par exemple, si la divulgation des informations en question était indispensable pour obtenir une ordonnance judiciaire aux fins d'exécution de la demande d'entraide, ou qu'il faille notifier la requête à des particuliers ayant des preuves en leur possession pour que cette requête puisse être exécutée.
Voir ch. 273 du rapp. expl. (lien disponible sous note 1).
La Partie requise ne pouvant faire droit à une demande de confidentialité en informe la Partie requérante, laquelle peut retirer sa demande ou la modifier.
Art. 27, par. 9, let. b. Il faut citer entre autres, à cet égard, l'accord de coopération entre Eurojust et la Suisse, qui n'est pas encore entré en vigueur: il soutient les Etats dans leurs efforts pour traiter rapidement les demandes d'entraide judiciaire (cf. message du Conseil fédéral du 4 décembre 2009, FF 2010 23).
Ceci sauf si lesdites Parties en décident autrement. On évite ainsi tout chevauchement avec des traités d'entraide judiciaire bilatéraux et multilatéraux existants et des arrangements analogues, ce qui permet aux praticiens de continuer d'appliquer le régime habituel au lieu de chercher à appliquer deux instruments concurrents pouvant, éventuellement, se révéler contradictoires, cf. ch. 276 du rapp. expl. (lien disponible sous note 1).
Comme dans le cas de l'identité d'un informateur qui doit rester confidentielle.
4306
dures que celles indiquées dans la requête. En Suisse, la règle de la spécialité de l'art. 67 EIMP est fondamentale dans la pratique: les documents et renseignements communiqués ne peuvent, dans l'Etat requérant, ni être utilisés aux fins d'investigations, ni produits comme moyens de preuve dans une procédure pénale visant une infraction pour laquelle l'entraide est exclue180. La restriction d'utilisation du matériel communiqué s'applique si elle est expressément demandée par la Partie requise; à défaut, la Partie requérante n'est pas tenue de la respecter. Cette restriction garantit que les informations et le matériel ne pourront être utilisés qu'aux fins prévues dans la demande, excluant qu'ils le soient à d'autres fins sans le consentement de la Partie requise. La Convention sur la cybercriminalité prévoit cependant deux exceptions à la capacité de restreindre l'utilisation des informations181. Si la Partie requérante ne peut satisfaire à l'une des conditions, elle en informe la Partie requise qui décide alors si elle va procurer les informations182. Il peut être demandé à la Partie requérante de communiquer des précisions quant à l'usage fait des informations ou du matériel reçus aux conditions énoncées au par. 2, de sorte que la Partie requise puisse vérifier que ces conditions ont été respectées183. En relation avec la règle de la spécialité de l'art. 67 EIMP précité, la Suisse sera parfois appelée à vérifier le respect des conditions dont la transmission est assortie.
Art. 29
Conservation rapide de données informatiques stockées
L'art. 29, par. 1, autorise un Etat Partie à demander, et le par. 3 impose à chaque Etat Partie de se donner, les moyens juridiques d'obtenir la conservation rapide de données stockées au moyen d'un système informatique sur le territoire de la Partie requise, afin que ces données ne soient pas modifiées, enlevées ou effacées pendant la période nécessaire à la préparation, à la transmission et à l'exécution d'une demande d'entraide aux fins d'obtention des données. La conservation est une mesure provisoire limitée. Le présent mécanisme doit garantir la disponibilité de ces données pendant le déroulement du processus long et complexe de l'exécution d'une requête officielle d'entraide. Cette mesure est plus rapide et moins intrusive que la méthode d'entraide habituelle. A ce stade, il n'est pas demandé aux responsables de l'entraide de la Partie requise d'obtenir la possession des données auprès de leur gardien, mais il faut que la Partie requise s'assure que le gardien, qui est souvent un fournisseur de services ou autre tiers, conserve, soit n'efface pas, les données en attendant que soit ordonnée leur remise ultérieure184. En droit suisse, cette exigence est remplie par les mesures provisoires que l'autorité d'exécution suisse compétente peut prononcer selon l'art. 18 EIMP. Ainsi, un fournisseur de service pourra être 180
181
182 183 184
Cette interdiction se rapporte notamment aux actes revêtant, selon la conception suisse, un caractère politique, militaire ou fiscal: cf. art. 3, sp. al. 1 et 3 EIMP: constitue un acte de caractère fiscal celui qui paraît à diminuer des recettes fiscales ou contrevient à des mesures de politique monétaire, commerciale ou économique. Toutefois, les documents et informations transmis par la voie de l'entraide peuvent aussi être utilisés pour la poursuite d'une escroquerie (qualifiée) en matière fiscale.
Si le matériel transmis constitue des éléments de preuve disculpant un accusé, il est révélé à la défense ou à une autorité judiciaire. Si le matériel fourni dans le cadre des accords d'entraide est destiné à une utilisation lors de procès, une fois divulgué, ce matériel tombe pour l'essentiel dans le domaine public. Dans ces cas-là, il n'est pas possible de garantir la confidentialité aux fins d'enquêtes ou de procédures pour lesquelles l'entraide a été requise. Voir ch. 278 du rapp. expl. (lien disponible sous note 1).
Art. 28, par. 3.
Art. 28, par. 4.
Voir ch. 282 du rapp. expl. (lien disponible sous note 1).
4307
invité à effectuer sur un support séparé la sauvegarde (backup) des données intéressant les autorités étrangères, préservant ainsi celles-ci d'un effacement ultérieur, par leur utilisateur ou par le fournisseur de service. L'autorité étrangère sera amenée à présenter une demande d'entraide formelle dans un délai prescrit, faute de quoi la sauvegarde pourra être détruite. La procédure instituée à l'art. 29 de la Convention est rapide et respecte le droit de la personne concernée au respect de sa vie privée, car les données ne seront divulguées que lorsqu'il aura été satisfait aux critères applicables à la divulgation intégrale selon les accords d'entraide. La présente disposition permet d'engager un processus extrêmement rapide pour empêcher les données d'être perdues à jamais; il s'agit de conservation des données en attendant leur remise ultérieure. Ces mesures ne sont toutefois concevables que si le fournisseur de service n'est pas lui-même impliqué dans les faits poursuivis à l'étranger, auquel cas les mesures provisoires devraient avoir lieu par le biais d'une perquisition.
L'art. 29, par. 2, énonce la teneur d'une telle demande de conservation. Cette mesure provisoire est préparée et transmise rapidement, les informations seront résumées et ne porteront que sur les éléments minimaux requis185 pour permettre la conservation des données. La Partie requérante s'engage à soumettre ultérieurement une demande d'entraide pour obtenir la production des données.
L'art. 29, par. 4 institue une réserve limitée. La Suisse l'émettra concernant la double incrimination, dans la mesure où cette dernière est nécessaire à notre pays pour toutes les mesures intrusives. La Suisse se réservera ainsi le droit, pour des infractions autres que celles établies conformément aux art. 2 à 11186 de la Convention, de refuser la demande de conservation au titre de l'art. 29, par. 4, visant la perquisition ou l'accès similaire187, la saisie ou l'obtention par un moyen similaire ou la divulgation des données stockées, dans le cas où notre pays aura des raisons de penser que, au moment de la divulgation, la condition de double incrimination ne pourra pas être remplie. La teneur de la réserve qui sera émise par la Suisse sera largement calquée sur celle présentée à l'appui de l'art. 5 CEEJ.
L'art. 29, par. 5, de la Convention
fixe des conditions strictes au refus possible de la demande de conservation188. Dans leur application pratique, les art. 29 et 30 seront interprétés. En tant que mesures provisoires, ils précèdent une demande d'entraide formelle; l'autorité étrangère peut exiger la conservation rapide selon l'art. 29 et la divulgation rapide selon l'art. 30. La Suisse procédera toutefois à une interprétation différenciée des art. 29, par. 5, et 30, par. 2: s'il apparaît, au moment d'ordonner les mesures provisoires, que la demande d'entraide tendant à la remise des données conservées sera irrecevable, la Suisse devrait refuser d'ordonner lesdites mesures 185
En sus de l'identification de l'autorité demandant la conservation et de l'infraction, la demande fournit un bref exposé des faits et des indications suffisantes pour identifier les données à conserver et pour montrer le lien existant entre ces données et l'enquête, ainsi que la nécessité de la mesure de conservation. Voir ch. 284 du rapp. expl. (lien disponible sous note 1).
186 La condition de la double incrimination est automatiquement remplie s'agissant des infractions établies conformément aux art. 2 à 11 de la Convention, sauf dispositions contraires figurant dans les réserves, prévues par la Convention, que les Parties peuvent avoir formulées au sujet de ces infractions.
187 Cf. la réserve correspondante de notre pays à la CEEJ.
188 La Partie requise ne peut refuser la demande de conservation que si son exécution risque de porter préjudice à sa souveraineté, sa sécurité, l'ordre public ou d'autres intérêts essentiels, ou si elle considère l'infraction comme étant de nature politique ou liée à une infraction de nature politique. Voir ch. 287 du rapp. expl. (lien disponible sous note 1).
4308
provisoires. En effet, l'art. 31 permet d'exclure l'entraide selon le droit national et les traités. Donc si la Suisse ne donne pas suite à la demande d'entraide, il n'y a pas de raison qu'elle conserve les données relatives à une telle demande irrecevable.
Si la Partie requise se rend compte que le gardien des données risque de nuire à l'enquête189, la Partie requérante doit être rapidement informée190. Elle pourra ainsi déterminer si elle prend le risque de l'exécution de la requête de conservation ou s'il vaut mieux utiliser une forme plus intrusive mais plus sûre d'entraide. L'art. 29, par. 7, de la Convention impose que les données conservées le soient pour une période d'au moins 60 jours en attendant la réception de la demande d'entraide officielle visant leur divulgation et continuent d'être conservées après la réception de la demande, ce qui ne pose pas de problème en Suisse191, dans la mesure où la loi ne fixe aucune durée minimale de conservation des données, celle-ci dépendant de la libre appréciation de l'autorité d'exécution, soumise au contrôle et le cas échéant au recours de l'OFJ.
Art. 30
Divulgation rapide de données conservées
Nécessité de modifier le droit actuel La rapidité de la transmission des informations recueillies conditionne l'efficacité de la lutte contre la cybercriminalité. A l'inverse des moyens de preuves ordinaires, qui se caractérisent par une certaine durabilité dans le temps et dans l'espace et ne souffrent pas de procédures durant plusieurs mois, les données informatiques peuvent transiter entre différents pays de manière quasiment instantanée et ne font généralement pas l'objet de stockage durable, celui-ci dépassant rarement quelques mois. La seule prise de mesures provisoires rapides (saisie des données intéressantes) est insuffisante; ces mesures doivent se doubler d'une transmission des données aussi diligente que possible à l'autorité requérante, faute de quoi elles s'avéreront inexploitables. Cet impératif fait l'objet de l'art. 30 de la Convention.
Or, le droit suisse en vigueur ne satisfait pas à la mise en oeuvre de l'art. 30 de la Convention. Il arrive souvent qu'à la demande d'un Etat Partie dans lequel une infraction a été commise, la Partie requise conserve les données relatives au trafic concernant la transmission d'une communication par ses ordinateurs afin de pouvoir remonter à la source de la communication et identifier l'auteur de l'infraction, ou localiser des preuves décisives. Ce faisant, la Partie requise peut s'apercevoir que les données relatives au trafic découvertes sur son territoire montrent que la communication a été acheminée par un fournisseur de services d'un Etat tiers ou par un fournisseur se trouvant dans la Partie requérante elle-même. En pareil cas, la Partie requise doit fournir rapidement à la Partie requérante une quantité suffisante de données relatives au trafic pour permettre d'identifier le fournisseur de services de l'Etat tiers et la voie par laquelle la communication a été transmise par celui-ci. Si la communication a été transmise depuis un Etat tiers, ces informations permettent à la Partie requérante d'adresser à ce dernier une demande de conservation et d'entraide accélérée pour identifier le fournisseur de services et la voie de transmission de la communication. L'art. 30 nécessite de pouvoir divulguer rapidement les données 189
Par exemple lorsque les données à conserver sont sous la garde d'un fournisseur de services contrôlé par la cible de l'enquête elle-même.
190 Art. 29, par. 6.
191 Voir ch. 289 du rapp. expl. (lien disponible sous note 1).
4309
relatives au trafic à l'étranger, données accessibles grâce à un ordre de surveillance émis selon la LSCPT. Cette obligation est peu compatible avec le système d'entraide suisse actuel qui nécessite, avant toute transmission à l'étranger d'éléments relatifs au domaine secret192, la notification à leur titulaire d'une décision de clôture susceptible de recours193. Ce n'est qu'à l'issue de cette procédure, qui dure plusieurs mois, que les données peuvent être transmises à l'autorité étrangère. Ce délai entraîne que les données s'avèrent inexploitables par l'autorité étrangère, car trop anciennes, et permet en outre aux personnes concernées, averties par les autorités suisses, de faire disparaître194 les moyens de preuves compromettants. Sur ce point, le droit suisse doit donc être adapté pour répondre aux exigences de l'art. 30.
Le nouvel art. 18b autorise la transmission des données (relevant du domaine secret) relatives au trafic à l'autorité étrangère avant la clôture de la procédure d'entraide dans deux situations:
les mesures provisoires font apparaître que la source de la communication faisant l'objet de la demande d'entraide se trouve à l'étranger (al. 1, let. a: législation d'application de l'art. 30 de la Convention);
ces données sont recueillies par l'autorité d'exécution en vertu d'un ordre de surveillance en temps réel qui a été autorisé (al. 1, let. b: législation d'application de l'art. 33 de la Convention).
Une telle transmission déroge au système actuel de l'entraide, raison pour laquelle la personne touchée bénéficie d'une protection juridique accrue instituée à l'art. 18b, al. 2 et 3, dans l'éventualité d'un refus ultérieur de l'entraide. Ces mesures de protection sont de trois ordres: la mesure de surveillance doit recueillir l'autorisation d'un tribunal indépendant au sens de l'art. 272 CPP (cf. nouvel art. 18b, let. b in fine, EIMP); les données transmises ne peuvent pas être utilisées comme moyens de preuve avant la clôture de la procédure, ce qui permet, en cas de recours admis, de faire écarter du dossier étranger les informations communiquées (cf. nouvel art. 18b, al. 2, EIMP); cette transmission est soumise au contrôle immédiat de l'OFJ (cf.
nouvel art. 18b, al. 3, EIMP).
L'OFJ veillera au respect de la loi et qui, en cas d'abus ou d'irrespect de cette disposition, pourra intervenir tant auprès des autorités suisses qu'étrangères. La présente disposition revêt un certain caractère de nouveauté dans le système de l'entraide suisse, car elle autorise la transmission à l'autorité étrangère de renseignements relevant du domaine secret sans que la personne concernée ait été préalablement avertie et ait eu l'occasion de faire valoir ses arguments. Une telle transmission est nécessaire pour remplir les exigences de la Convention qui tient compte 192
Art. 9 EIMP et art. 69 de la loi fédérale du 15 juin 1934 sur la procédure pénale (RS 312.0).
193 Art. 80e EIMP. Une telle procédure n'est pas nécessaire lorsque la communication investiguée constitue elle-même une infraction commise par Internet. Dans ce cas, le fournisseur de services a l'obligation de transmettre toutes les informations permettant d'identifier l'auteur selon une procédure simplifiée (art. 14, al. 4, LSCPT).
194 L'existence de risques de disparition des preuves constitue une circonstance justifiant le recours à une transmission immédiate; tel est, par exemple, le cas lorsque l'autorité étrangère recherche l'identité d'une personne utilisant des services Internet suisses pour échanger des fichiers de pédopornographie. Actuellement, les données permettant d'identifier l'utilisateur d'un tel service ne peuvent pas être transmises à l'autorité étrangère avant que l'utilisateur n'ait été informé de la décision rendue à son égard et n'ait bénéficié d'un délai de trente jours pour recourir contre cette décision.
4310
des impératifs de la poursuite pénale. Cette disposition diminue la possibilité de la personne touchée de se défendre immédiatement contre la transmission à l'étranger d'éléments relevant de son domaine secret. La protection dont la personne touchée bénéficie reste toutefois assurée par d'autres mécanismes. En effet, la demande d'entraide sera non seulement examinée par l'autorité d'exécution mais également, de manière accrue, par l'OFJ. De plus, l'autorité autorisant la surveillance195 devra également vérifier que la demande remplit un certain nombre de critères, recoupant étroitement, sur un plan matériel, ceux de la procédure d'entraide196. La personne touchée n'est pas privée de tous ses droits: dès que la situation le permettra197, elle devra être avertie de la transmission intervenue et pourra recourir non seulement contre la décision de clôture, mais également contre la décision de surveillance. Si elle obtient gain de cause, l'autorité étrangère devra retirer ces informations de son dossier et en donner quittance aux autorités suisses. Dans tous les cas, jusqu'à ce que la personne touchée ait pu faire valoir ses droits, les informations la concernant ne pourront pas être utilisées à titre de preuves, mais uniquement à titre d'investigation198. Le système proposé tient ainsi compte d'une manière raisonnable des impératifs de la poursuite pénale tout en assurant que les intérêts légitimes de la personne touchée continuent de bénéficier d'une protection adéquate.
Enfin, la présente modification sera également utile en matière d'extradition, pour la localisation des suspects.
D'un point de vue formel, l'autorité compétente saisie d'une demande tendant à la surveillance en temps réel de données relatives au trafic devra rendre une décision d'entrée en matière et requérir les éventuelles autorisations nécessaires selon l'art. 272 CPP. Dans la même décision, ou par décision incidente séparée, l'autorité d'exécution ordonnera également la transmission anticipée et sous conditions des données obtenues en vertu de l'ordre de surveillance. Cette décision devra être immédiatement transmise à l'OFJ qui pourra recourir199, si les conditions légales ne sont pas réalisées. L'ordre et l'autorisation de surveillance seront également communiqués à l'OFJ, afin que celui-ci puisse contrôler que les conditions
de l'art. 18b EIMP sont réalisées.
En ce qui concerne les mesures de surveillance en temps réel, elles doivent, par essence, rester inconnues des personnes surveillées. Dans la coopération internationale, ce postulat se concilie difficilement avec le principe de base de l'EIMP, selon lequel aucune information relevant de la sphère secrète d'une personne ne peut être transmise à l'étranger sans que celle-ci n'ait préalablement eu la possibilité de s'y opposer. Ces intérêts divergents ne se limitent toutefois pas à la seule transmission de données relatives au trafic, qui fait l'objet de l'art. 33 de la Convention, mais concernent également la transmission des contenus de communications surveillées 195 196
Art. 7, al. 1, LSCPT.
Il en est ainsi de la double incrimination (qualifiée selon l'art. 3 LSCPT), de la proportionnalité (subsidiarité des mesures: art. 3, al. 1, let. a à c, LSCPT) ainsi que du tri des documents (art. 8 LSCPT).
197 Mais dans tous les cas au plus tard lors de la clôture de la procédure pénale ou de la suspension de la procédure (art. 10, al. 2, LSCPT).
198 Voir sur cette distinction le message du Conseil fédéral du 1er octobre 2004 concernant l'art. 30 de l'Accord de coopération entre la Confédération suisse, d'une part et la Communauté européenne et ses États membres, d'autre part, pour lutter contre la fraude et toute autre activité illégale portant atteinte à leurs intérêts financiers, FF 2004 5820. Le même critère est également utilisé en droit suisse, voir par ex. art. 10, al. 3, LSCPT et art. 22 de la loi fédérale du 20 juin 2003 sur l'investigation secrète (LFIS).
199 Art. 80e, 80h et 80l EIMP.
4311
en temps réel. Ce conflit potentiel a été reconnu par la doctrine qui relève les problèmes actuels liés à l'exécution de demandes d'entraide relatifs à la surveillance en temps réel de télécommunications200. La révision se limite toutefois à ce que la mise en oeuvre de l'art. 33 requiert, s'étendant uniquement aux données relatives au trafic, sans inclure celles relatives au contenu. L'art. 18b EIMP ne crée donc pas de régime légal unique autorisant l'exécution de mesures de surveillance dans le cadre de l'entraide judiciaire et concernant les données relatives au trafic ainsi que celles relatives au contenu.
Les autres développements relatifs au nouvel art. 18b, let. b, EIMP sont présentés à l'appui de l'art. 33 de la Convention.
Autres développements relatifs à l'art. 30 Selon l'art. 30, par. 2, la Partie requise ne peut refuser la divulgation de données relatives au trafic que si celle-ci risque de porter préjudice à sa souveraineté, sa sécurité, son ordre public ou d'autres intérêts essentiels, ou si elle considère l'infraction comme politique ou liée à une infraction politique. Comme pour l'art. 29 de la Convention, ce type d'informations est si important pour pouvoir identifier les auteurs d'infractions ou localiser des preuves décisives que les motifs de refus de divulgation ont été limités201.
Art. 31
Entraide concernant l'accès aux données stockées
L'art. 31 prévoit que chaque Etat Partie a la capacité, au bénéfice de l'autre, de perquisitionner ou d'accéder par un moyen similaire, de saisir ou d'obtenir par un moyen similaire, et de divulguer des données stockées au moyen d'un système informatique se trouvant sur son territoire, tout comme il a, en vertu de l'art. 19 de la Convention, celle de le faire à des fins nationales. Le fait qu'il ne permet pas de restreindre les mesures prévues à une catégorie particulière d'infractions et qu'aucune réserve ne peut être formulée202 n'apparaît pas problématique, car l'art. 31, par. 2, let. f, permet d'entreprendre cette coopération en application des traités pertinentes et du droit national mentionné à l'art. 23 de la Convention.
L'art. 31, par. 1, autorise une Partie à demander le type d'entraide prévu par la présente disposition et le par. 2 exige de la Partie requise qu'elle se donne les moyens de la fournir. L'art. 31, par. 3, prévoit qu'il est satisfait rapidement à une telle demande lorsque: a) il y a des raisons de penser que les données pertinentes sont particulièrement susceptibles de perte ou de modification, ou que b) les traités, arrangements ou législations prévoient une coopération rapide203.
200
Thomas Hansjakob, BÜPF/VÜPF, Kommentar zum Bundesgesetz und zur Verordnung über die Überwachung des Post- und Fernmeldeverkehrs, St-Gall 2006; Robert Zimmermann, La coopération judiciaire internationale en matière pénale, Berne, 2004, n. 246-13 ss, p. 285 ss.
201 Voir ch. 291 du rapp. expl. (lien disponible sous note 1).
202 Art. 42.
203 Voir ch. 292 du rapp. expl. (lien disponible sous note 1).
4312
Art. 32
Accès transfrontalier à des données stockées, avec consentement ou lorsqu'elles sont accessibles au public
L'art. 32 règle l'accès, par un Etat Partie, aux données stockées dans un autre Etat, plus précisément aux données accessibles au public204 et dans le cas où la personne légalement autorisée à divulguer les données y consent. Il s'agit donc de cas où un Etat agit unilatéralement mais où il est admis qu'il n'y a pas atteinte à la souveraineté de l'autre Etat205. La disposition crée le cadre juridique de ces deux cas d'accès à des données stockées dans un autre Etat sans l'accord de ce dernier206. Il n'a pas été possible, lors des négociations, de parvenir à un consensus sur une règlementation plus étendue.
Pour ce qui est des données accessibles au public (par ex. des données disponibles sur le site Web d'une entreprise ou d'une administration), l'art. 32 permet à un Etat Partie de les télécharger et de les utiliser sans être tenu de requérir l'accord de l'Etat dans lequel se trouvent ces données. Il lui permet aussi de consulter ou de se procurer des données se trouvant dans un autre Etat lorsqu'une personne légalement autorisée à lui divulguer ces données lui donne son consentement légal et volontaire.
S'il s'agit d'informations confidentielles sur une tierce personne qui n'a pas donné son accord pour qu'elles soient publiées, l'accès unilatéral prévu par l'art. 32 n'est pas autorisé.
Cette disposition de la Convention doit être interprétée de manière étroite, notamment dans le deuxième cas prévu, car il faut éviter qu'elle ne soit utilisée pour éluder la procédure d'entraide judiciaire ou pour violer la sphère privée d'un tiers207. Le droit légal qu'a une personne de disposer de données et de les transmettre à une administration étatique est régi en tout premier lieu par la législation de l'Etat où elle agit. Il est ainsi permis d'enregistrer son courrier électronique auprès d'un fournisseur de services étranger et de le transmettre à une autorité de son propre Etat208.
Concrètement, une personne se trouvant à l'étranger qui a enregistré des données en Suisse pourra toujours les fournir volontairement à une administration étrangère sans en informer les autorités suisses, dans la mesure où elle y est légalement autorisée et où elle ne porte pas atteinte au domaine secret protégé d'un tiers.
Art. 33
Entraide dans la collecte en temps réel de données relatives au trafic
L'art. 33 impose de collecter en temps réel des données relatives au trafic pour un autre Etat Partie et de coopérer en la matière. Les clauses et conditions concernant l'octroi de cette coopération sont celles que prévoient les traités et législations applicables régissant l'entraide judiciaire pénale. En effet, souvent les enquêteurs ne peuvent être sûrs de pouvoir remonter à la source d'une communication en se fiant aux enregistrements des transmissions antérieures, car des données relatives au trafic 204 205 206
Source ouverte.
Voir ch. 293 du rapp. expl (cf. note 1).
Et sans recours à la voie ordinaire de l'entraide judiciaire ou administrative.
La Convention n'autorise aucun autre accès de ce type; cf. art. 39, par. 3, de la Convention.
207 L'Allemagne a suivi cette optique en mettant en oeuvre la Convention. Cf. le commentaire du projet de loi du gouvernement fédéral allemand du 16 novembre 2007 relatif à la Convention sur la cybercriminalité, Drucksache 16/7218, p. 55, consultable à l'adresse http://dip21.bundestag.de/dip21/btd/16/072/1607218.pdf.
208 Des données peuvent être stockées à l'étranger sans que l'ayant droit le sache, parce que le fait n'est pas apparent.
4313
cruciales peuvent avoir été automatiquement effacées par un fournisseur de services de la filière de transmission avant de pouvoir être conservées. Il est donc indispensable que les enquêteurs de chaque Etat Partie puissent avoir la possibilité de se procurer en temps réel des données relatives au trafic concernant des communications transmises par un système informatique se trouvant sur le territoire d'autres Etats Parties209. Certes, l'art. 33, par. 2, permet que l'entraide ainsi fournie équivaille au moins aux «infractions pénales pour lesquelles la collecte en temps réel de données concernant le trafic serait disponible dans une affaire analogue au niveau interne». Selon le droit actuel, les données relatives au trafic relèvent du domaine secret, sont récoltées de manière secrète et nécessitent une décision de clôture avant d'être transmises. Le nouvel art. 18b EIMP crée la possibilité de transmettre immédiatement ces données à l'étranger, notamment sans procéder à une notification de la décision210 à la personne concernée en Suisse, ce qui, par conséquent, ne met pas non plus l'enquête étrangère en danger.
Il convient de préciser que l'art. 33 de la Convention ne prévoit pas de limitation quant à la gravité de l'infraction justifiant l'application des mesures de surveillance; or, le nouvel art. 273211 CPP autorisera la surveillance en temps réel des données relatives au trafic uniquement pour des enquêtes en relation avec des délits et des crimes. L'art. 15, par. 2, de la Convention sur la cybercriminalité prévoit cependant que les pouvoirs et procédures doivent «intégrer le principe de proportionnalité», chaque Etat Partie appliquant ce principe selon les autres principes de son droit interne212. Les Etats Parties à la Convention peuvent donc ne pas donner suite à une demande ne respectant pas ce principe de proportionnalité, ce qui permettrait à la Suisse de refuser sa coopération lorsque les faits constituent une contravention selon le droit suisse213.
Art. 34
Entraide en matière d'interception de données relatives au contenu
L'art. 34 restreint l'obligation d'accorder l'entraide aux fins d'interception des données relatives au contenu en raison du caractère très intrusif de l'interception.
Cette entraide est accordée dans la mesure permise par les traités et lois internes applicables. La pratique de l'entraide en la matière n'en est qu'à ses débuts, donc les régimes et législations internes d'entraide déterminent l'étendue de l'obligation de coopérer et des restrictions dont cette obligation fera l'objet214. Au sens du nouvel art. 18b EIMP, seules les données relatives au trafic informatique peuvent être communiquées à l'étranger avant la clôture d'une procédure. Les données relatives au contenu ne peuvent pas l'être. Donc, selon l'art. 30, al. 1 EIMP215, les autorités suisses ne pourront pas demander à l'étranger de leur transmettre précocement des données relatives au contenu.
209 210 211
212 213 214 215
Voir ch. 295 du rapp. expl. (lien disponible sous note 1).
Art. 80m EIMP.
Le nouveau droit procédural pénal autorisera une surveillance rétroactive si la gravité de l'infraction la justifie et si elle apparaît nécessaire à l'instruction (art. 273, al. 1, let. b et c, CPP), même si cette infraction n'est pas mentionnée dans le catalogue de l'art. 269 CPP.
Voir ch. 146 du rapp. expl. (lien disponible sous note 1).
Les paris en ligne entrent dans cette catégorie (art. 42 de la loi fédérale du 8 juin 1923 sur les loteries et les paris professionnels, RS 935.51).
Voir ch. 297 du rapp. expl. (lien disponible sous note 1).
Les autorités suisses ne peuvent adresser à un Etat étranger une demande à laquelle elles ne pourraient pas donner suite en vertu de la présente loi.
4314
Art. 35
Réseau 24/7
En vertu de l'art. 35 de la Convention, les Etats Parties veillent à ce qu'un point de contact soit joignable en tout temps. Ce point de contact est chargé de faciliter les investigations pénales nationales et internationales concernant la cybercriminalité. Il ne doit pas impérativement prendre lui-même des mesures dans les domaines du conseil juridique, de l'entraide judiciaire, de l'administration des preuves, de la conservation des données ou des enquêtes pénales en général216. Il doit servir d'intermédiaire voué à faciliter les relations entre les autorités suisses et étrangères chargées de ces tâches.
Cette fonction pourra être assumée par la Centrale d'engagement de l'Office fédéral de la police (fedpol). C'est l'OFJ (service de piquet) qui remplira les tâches relatives à l'entraide judiciaire et à l'extradition prévues à l'art. 35, par. 1, let. a à c, de la Convention (et qui tranchera notamment sur l'admissibilité des mesures).
La charge supplémentaire que représentera l'exécution des cas d'entraide judiciaire et des demandes dans le domaine couvert par la Convention sur la cybercriminalité dépendra du nombre d'Etats Parties à la Convention, de la complexité des cas et des développements technologiques utilisés d'une part par les délinquants et d'autre part par les autorités de poursuite pénale217. On estime qu'un poste à plein temps sera nécessaire à l'OFJ du fait de la ratification et de la mise en oeuvre de la Convention (piquet et traitement ordinaire des cas218). Du côté de fedpol, dont la Centrale d'engagement recevra des annonces 24 h/24 et devra établir et faciliter le contact avec les autorités compétentes, un poste à plein temps sera également nécessaire.
2.4
Chapitre IV: Clauses finales
Les clauses finales de la Convention correspondent peu ou prou à celles d'autres conventions du Conseil de l'Europe.
Selon son art. 36, la Convention est ouverte à la signature non seulement des Etats membres du Conseil de l'Europe, mais aussi des Etats non membres qui ont participé à son élaboration219. D'autres Etats peuvent être invités à y adhérer220.
La Convention est entrée en vigueur le 1er juillet 2004, une fois que cinq Etats l'ont eu ratifiée221. Aujourd'hui, elle compte 29 Etats Parties. Parmi eux, seuls les EtatsUnis ne sont pas membres du Conseil de l'Europe.
Nous l'avons dit plus haut: la possibilité de remettre des déclarations et des réserves a été expressément prévue comme partie intégrante à la Convention lors de l'élaboration de celle-ci222. L'art. 40 énumère les six dispositions de la Convention concernant lesquelles les Etats Parties peuvent émettre une restriction. Nous propo216 217 218 219 220 221 222
Cf. art. 35, par. 1, de la Convention et ch. 298 ss du rapp. expl. (lien disponible sous note 1).
Ressources et équipements dans les domaines de la surveillance, de la sécurité et du contrôle du trafic de données électroniques.
Voir ch. 2.3.6.
L'Afrique du Sud, le Canada, les Etats-Unis et le Japon.
Art. 37 de la Convention. Y ont été invités, à ce jour (janvier 2010), le Chili, le Costa Rica, le Mexique, les Philippines et la République dominicaine.
Art. 36, par. 3, de la Convention.
Voir ch. 49 et 50 du rapp. expl. (lien disponible sous note 1).
4315
sons que la Suisse dépose des déclarations relatives aux art. 2, 3, 7, 9, ch. 3, et 27, ch. 9, let. e, (pour davantage de détails voir le commentaire de ces dispositions).
En vertu de l'art. 41 (Clause fédérale), un Etat peut déclarer par une réserve qu'il ne se soumettra pas aux obligations visées au chapitre II223 en raison de sa structure fédérale224, à condition que le domaine de la coopération internationale225 n'en soit pas touché. Pour la Suisse, cette option ne présente pas d'intérêt puisque le CPP, qui entrera bientôt en vigueur, confie à la Confédération la compétence en matière de droit de procédure.
La Convention présente une particularité: elle limite la possibilité de faire des réserves, l'art. 42 donnant la liste des dispositions qui peuvent en faire l'objet. Il est prévu que la Suisse fasse quatre réserves, relatives aux art. 6, ch. 3, 9, ch. 4, 14, ch. 3, et 29, ch. 4. Nous renvoyons ici aussi au commentaire de ces dispositions.
Les réserves et déclarations comprises dans l'avant-projet d'arrêté fédéral devront être adressées au Secrétaire général du Conseil de l'Europe en même temps que la Suisse déposera les instruments de ratification.
Tout différend sur l'interprétation ou l'application de la Convention doit être réglé en premier lieu par la négociation (art. 45). Contrairement à d'autres conventions récentes du Conseil de l'Europe, celle-ci ne connaît pas de mécanisme réciproque de surveillance ou d'évaluation.
La Convention peut être dénoncée à tout moment, moyennant un délai de trois mois, par notification au Secrétaire général du Conseil de l'Europe (art. 47).
2.5
Autres aspects de la procédure de consultation
Lors de la procédure de consultation226, le souhait a été exprimé par différents participants227 d'étendre l'art. 18b EIMP aux données relatives au contenu. Le principal motif évoqué était d'améliorer la poursuite pénale. Le Conseil fédéral a cependant décidé une «révision limitée» de l'EIMP, ceci pour les motifs que la Convention n'exige pas228 la transmission des données relatives au contenu et qu'une majorité de participants à la procédure de consultation n'a pas manifesté le souhait d'une telle modification. Les possibilités de coopération basées sur l'art. 18a EIMP restent inchangées, étant précisé qu'actuellement il n'existe pas d'importants besoins de coopération dans la récolte en temps réel de données informatiques relatives au contenu.
Le souhait a également été exprimé d'inscrire dans la loi la définition des «données relatives au trafic» telle que la consacre l'art. 1, let. d, de la Convention. Cette proposition n'a pas été suivie, mais il a été donné suite au souci exprimé lors de la procédure de consultation d'éviter une confusion avec l'art. 2, let. g, OSCPT, en ce sens que le titre et le texte de l'art. 18b, al. 1, EIMP introduisent expressément la 223 224 225 226 227 228
Mesures à prendre au niveau national.
Une clause inhabituelle, qui a été reprise dans le texte en raison de l'intervention déterminante des Etats-Unis.
Chapitre III de la Convention.
Voir ch. 1.4.
Les cantons de SG, VD, NE, FR, BS, BL, JU, AR, ainsi que la Conférence des autorités de poursuite pénale de Suisse et la Conférence suisse des procureurs.
Art. 34 de la Convention.
4316
notion de «trafic informatique». A ceci s'ajoute que la question relative à la surveillance de la poste et des télécommunications fait déjà l'objet d'une disposition topique (art. 18a EIMP); l'art. 18b EIMP ne se rapporte pas aux données sur la téléphonie. La notion de données relatives au trafic informatique est suffisamment décrite par la doctrine229 et la pratique.
Enfin, il a été souhaité que l'on institue l'obligation que les demandes par moyens rapides de communication se déroulent exclusivement par moyens sécurisés. Cependant, la possibilité d'exiger cette sécurité au cas par cas garantit une protection suffisante230.
2.6
Protocole additionnel du 28 janvier 2003 contre les actes de nature raciste et xénophobe
Le Protocole additionnel du 28 janvier 2003 à la Convention sur la cybercriminalité, relatif à l'incrimination d'actes de nature raciste et xénophobe commis par le biais de systèmes informatiques, enjoint aux Etats Parties d'ériger en infraction pénale la discrimination et l'incitation à la haine et à la violence sur la base de la race, de la couleur, de l'ascendance, de l'origine ou de la religion de la victime. Il déclare applicables à ces infractions les dispositions de la Convention sur la cybercriminalité. Le Protocole est entré en vigueur le 1er mars 2006 et a été ratifié par quinze Etats, dont quatre de l'UE231.
La Suisse l'a signé le 9 octobre 2003. Le droit suisse correspond aux exigences impératives du Protocole. Bien que la norme pénale sur le racisme (art. 261bis CP) ne mentionne pas les critères de la couleur, de la descendance et de l'origine nationale, ils sont couverts de fait par ceux de l'appartenance raciale et ethnique.
Le droit suisse en vigueur va plus loin que le Protocole sur plusieurs points. Ainsi, il considère la religion comme un critère en soi; de même, il ne réduit pas le concept de l'ethnie à l'origine ethnique, ce qui peut avoir des implications considérables dans les faits.
Bien que notre droit soit largement compatible avec le Protocole, nous proposons de ratifier seulement la Convention. La mise en oeuvre du Protocole, qui concerne une matière tout autre, devrait être examinée dans un deuxième temps, afin qu'il soit possible de se concentrer sur les questions matérielles de la criminalité informatique, de la procédure pénale dans le domaine des preuves électroniques et de l'entraide judiciaire. En outre, il vaut mieux attendre les résultats des travaux en cours au DFJP
229
Les données relatives au trafic comprennent notamment les ressources d'adressage de l'origine de l'accès, la date et l'heure du début et de la fin de la connexion, les données utilisées pour la procédure d'identification (login) et le type de connexion (S. Bondallaz: La protection des personnes et de leurs données dans les télécommunications, n. 1821 et 1823, p. 518).
230 Les demandes n'ont pas un contenu différent en application de la présente Convention. Si des moyens sécurisés ne sont pas la règle pour les demandes habituelles, il en va de même pour les demandes faites en application de la Convention. Exiger des moyens sécurisés pour toute demande créerait des complications.
231 Etat: janvier 2010.
4317
concernant la punissabilité de l'utilisation de symboles racistes232 pour pouvoir en tenir compte lorsque l'on examinera l'opportunité de mettre en oeuvre le Protocole.
2.7
Rapport avec d'autres révisions du domaine du droit pénal
Le 5 octobre 2007, les Chambres fédérales ont adopté le code de procédure pénale qui est destiné à remplacer les codes cantonaux et la procédure pénale fédérale. Il entrera en vigueur le 1er janvier 2011. Nous nous sommes référés à ses dispositions à plusieurs reprises dans le présent message233, lorsqu'elles étaient importantes pour la mise en oeuvre de la Convention sur la cybercriminalité et qu'elles permettaient de répondre aux exigences de celles-ci. L'entrée en vigueur de la Convention pour la Suisse demande donc que le CPP soit en vigueur.
Un groupe de travail de la Confédération a entrepris une révision de la LSPCT. La coordination entre les deux projets est assurée par le DFJP.
3
Conséquences
3.1
Conséquences pour la Confédération en matière de finances et de personnel
Indépendamment de la ratification de la Convention sur la cybercriminalité, la mutation de la société sous l'empire des technologies modernes de l'information et, dans son sillage, la propagation de la cybercriminalité solliciteront toujours plus les forces de police, les autorités de poursuite pénale et le service chargé de la surveillance de la correspondance par poste et télécommunication, rattaché au DFJP.
Comme les cas liés à Internet ont pour la plupart des aspects internationaux, les services qui traitent les demandes d'entraide judiciaire seront aussi plus chargés.
La mise en oeuvre et la ratification de la Convention représenteront une lourde charge, sur les plans quantitatif et qualitatif, pour le service de l'OFJ compétent en matière d'entraide judiciaire. Quant à la Centrale d'engagement de la Police judiciaire fédérale, elle aura une nouvelle tâche de coordination. Le surcroît de travail pour l'OFJ (service de piquet et traitement ordinaire des cas) nécessitera un poste à plein temps. Du côté de fedpol, dont la Centrale d'engagement recevra des annonces 24 h/24, un poste à plein temps sera également nécessaire pour réaliser les exigences de la Convention. Les frais de personnel qui en découleront seront compensés à l'interne.
Ce n'est pas ici le lieu de décider d'un accroissement des ressources et des effectifs dans les offices concernés par exemple par la lutte contre la pédophilie sur les réseaux électroniques, laquelle excède le cadre de la Convention. Au vu des évolutions dans le domaine de la cybercriminalité et des chiffres livrés par l'expérience, il
232
Cf. le communiqué de presse du DFJP du 1er juillet 2009 concernant l'envoi en consultation d'une nouvelle disposition du code pénal en la matière, consultable à l'adresse www.bj.admin.ch. Le Protocole n'exige pas que les symboles racistes soient punissables.
233 Cf. notamment le commentaire des art. 16 à 21, 23, 25, 30 et 33 de la Convention.
4318
est possible qu'il faille, à l'avenir, doter ces offices de services spécialisés, qui représenteraient un atout sur le plan pratique dans la lutte contre la cybercriminalité.
3.2
Conséquences économiques
La mise en oeuvre de la Convention n'aura aucune conséquence pour l'économie.
3.3
Conséquences en matière informatique
La mise en oeuvre de la Convention n'aura pas de conséquences en matière informatique. L'équipement actuel des autorités de poursuite pénale de la Confédération, du Tribunal fédéral et du Tribunal pénal fédéral répond aux exigences de la Convention et est suffisant pour assurer la poursuite et l'évaluation des cas de cybercriminalité.
3.4
Conséquences pour les cantons
Vu l'essor des nouvelles technologies de communication et la rapidité avec laquelle elles transforment notre société, les cas de cybercriminalité sont appelés à se multiplier234. Toutefois, la seule mise en oeuvre de la Convention n'aura sans doute pas de conséquences directes pour les cantons. Si l'on se base sur l'expérience des Etats parties à la Convention depuis l'entrée en vigueur de celle-ci en 2004, il n'est guère à craindre à l'heure actuelle que le nombre de poursuites pénales ou de cas d'entraide judiciaire concernant des infractions visées par la Convention augmente considérablement235. De plus, le point de contact exigé par la Convention sera intégré à fedpol et les demandes d'entraide judiciaire et de renseignements en la matière seront adressées à l'OFJ.
4
Rapport avec le programme de la législature
Le projet est annoncé dans le message du 23 janvier 2008 sur le programme de la législature 2007 à 2011236.
5
Constitutionnalité
L'arrêté fédéral portant approbation et mise en oeuvre de la Convention du Conseil de l'Europe sur la cybercriminalité repose sur l'art. 54, al. 1, de la Constitution (Cst.)237, qui habilite la Confédération à conclure des traités internationaux.
L'art. 184, al. 2, Cst. habilite le Conseil fédéral à conclure et ratifier les traités internationaux, lesquels sont, selon l'art. 166, al. 2, Cst., approuvés par l'Assemblée fédérale.
234 235 236 237
Voir ch. 3.1.
Voir ch. 1.3 du présent rapport (appréciation de la Convention).
FF 2008 639 RS 101
4319
Les traités internationaux sont sujets au référendum s'ils sont d'une durée indéterminée et ne sont pas dénonçables, s'ils prévoient l'adhésion à une organisation internationale ou s'ils contiennent des dispositions importantes fixant des règles de droit ou que leur mise en oeuvre exige l'adoption de lois fédérales238. La Convention sur la cybercriminalité est d'une durée indéterminée, mais elle est dénonçable en tout temps et ne prévoit pas l'adhésion à une organisation internationale. Néanmoins sa ratification implique de modifier le code pénal et la loi sur l'entraide pénale internationale. L'arrêté fédéral sera donc sujet au référendum en matière de traités internationaux prévu par l'art. 141, al. 1, let. d, ch. 3, Cst.
Les modifications de loi proposées se fondent sur les art. 54, al. 1, et 123, al. 1, Cst.
238
Art. 141, al. 1, let. d, Cst.
4320