Introduction

Depuis quelques années, de nombreuses juri­dic­tions tentent de régu­ler Internet et les services l’utilisant. Qu’il s’agisse de problé­ma­tiques de concur­rence, de pour­suite pénale, de protec­tion des consom­ma­teurs ou autres, les propo­si­tions ne manquent pas et trouvent un inté­rêt grandissant.

L’Union euro­péenne fait office de figure de proue avec l’entrée en vigueur du RGPD en 2018. Le RGPD n’a pas seule­ment intro­duit de nombreux prin­cipes rela­tifs aux données person­nelles des utili­sa­teurs et à leur trai­te­ment, il a égale­ment innové s’agissant de sa portée, en présen­tant un champ d’application extra­ter­ri­to­rial extrê­me­ment large (art. 3 par. 2 RGPD). En voulant proté­ger les données des citoyens euro­péens, le légis­la­teur commu­nau­taire a rendu appli­cable le RGPD à tout four­nis­seur offrant des services sur le terri­toire euro­péen indé­pen­dam­ment de sa localisation.

Depuis lors, de nombreuses lois, notam­ment euro­péennes, empruntent un méca­nisme d’extraterritorialité simi­laire, à l’instar du Digital Service Act (DSA), entré en vigueur en novembre 2022 ou encore du projet de règle­ment e‑evidence, encore en discus­sion auprès des instances euro­péennes. Le premier vise en substance à régu­ler l’activité des four­nis­seurs de services en ligne, tandis que le second a pour but de faci­li­ter l’investigation de cyber­dé­lits par les auto­ri­tés de pour­suite pénale.

Légiférer en la matière paraît raison­nable, tant il appa­raît que les cybe­rin­frac­tions peuvent aujourd’hui être commises d’un côté du globe et leurs résul­tats appa­raître de l’autre. Cependant, l’approche du parle­ment euro­péen ne vient pas sans son lot de dangers. Un acte norma­tif visant à déployer ses effets sur le terri­toire d’un autre État peut en effet poser de nombreuses ques­tions sur son appli­ca­bi­lité et son enfor­ce­ment, parti­cu­liè­re­ment dans le cas où le droit natio­nal de ce second État compor­te­rait des dispo­si­tions diffi­ci­le­ment conci­liables avec l’acte norma­tif en question.

Législation euro­péenne et souve­rai­neté suisse

L’un des défis prin­ci­paux que présentent des textes comme le DSA ou le règle­ment e‑evidence pour les entre­prises suisses tient à l’introduction d’obligations de commu­ni­ca­tion directe avec les auto­ri­tés de pour­suite pénale étran­gères, sans passer par les procé­dures d’entraide inter­na­tio­nale. Or l’art. 271 CP inter­dit géné­ra­le­ment un tel comportement.

La Suisse a en effet adhéré à de nombreux textes bi- ou multi­la­té­raux d’entraide inter­na­tio­nale. L’on peut citer par exemple les Conventions de la Haye de 1965 et 1970 ou la Convention du 23 novembre 2001 sur la Cybercriminalité (Convention de Budapest, CCC). Ces textes ont en commun de prévoir une procé­dure par laquelle toute demande d’entraide judi­ciaire est relayée par les auto­ri­tés étatiques dési­gnées des deux États concer­nés. Celles-ci s’assurent de la léga­lité de la demande, de sa forme et de son bien-fondé. Les actes d’instruction, le cas échéant, sont ordon­nés par l’État requis selon son droit natio­nal. Aucun contact n’a lieu entre l’autorité de l’État requé­rant et le four­nis­seur sis dans l’État requis auquel les actes d’instruction sont ordonnés.

Le méca­nisme du DSA semble rela­ti­ve­ment peu problé­ma­tique à cet égard. Ses art. 9 et 10 prévoient l’obligation, pour certaines caté­go­ries de four­nis­seurs de services, d’informer l’autorité requé­rante de « la suite éven­tuelle donnée à (une) injonc­tion » d’agir contre du contenu illi­cite, respec­ti­ve­ment de four­nir des infor­ma­tions (art. 9 al. 1 et 10 par. 1 DSA). L’art. 18 prévoit quant à lui une obli­ga­tion des four­nis­seurs de noti­fier les soup­çons de commis­sion de certaines infrac­tions pénales aux auto­ri­tés compé­tentes. Ces obli­ga­tions concernent les auto­ri­tés de n’importe que État membre de l’UE ainsi que tout four­nis­seur soumis, peu importe sa loca­li­sa­tion ou celles des données concer­nées. Les para­graphes 6 de ces deux articles précisent que « les condi­tions et exigences établies dans le présent article sont sans préju­dice du droit natio­nal appli­cable en matière de procé­dure civile et de procé­dure pénale ». Les let. h et i de l’art. 2, réglant le champ d’application de la loi, expriment déjà le fait que le DSA s’entend sans préju­dice du « droit de l’Union dans le domaine de la coopé­ra­tion judi­ciaire en matière civile », respec­ti­ve­ment pénale.

Il ne s’agit ainsi peut-être pas ici de contour­ner les méca­nismes d’entraide, mais de permettre une meilleure commu­ni­ca­tion entre les auto­ri­tés concer­nées et les four­nis­seurs de services, en obli­geant ces derniers ne serait-ce qu’à répondre aux injonc­tions qu’ils reçoivent. Les consi­dé­rants 31 à 36 apportent quelques indi­ca­tions à cet égard en préci­sant que le DSA ne fait pas office de base juri­dique pour l’émission de ces injonc­tions (consid. 31), mais que cela relève du droit natio­nal ou de l’Union (consid. 32). Il est égale­ment précisé que « lorsque ces légis­la­tions prévoient, dans le cadre de procé­dures pénales ou civiles, des condi­tions supplé­men­taires à celles prévues dans le présent règle­ment ou incom­pa­tibles avec celles-ci en ce qui concerne les injonc­tions (…), les condi­tions prévues dans le présent règle­ment pour­raient ne pas s’appliquer ou être adap­tées » (consid. 34).

La situa­tion est quelque peu diffé­rente avec le projet de règle­ment e‑evidence. Celui-ci vise juste­ment à contour­ner les canaux d’entraide inter­na­tio­nale afin d’accélérer la collecte de preuve de cybe­rin­frac­tions (consid. 8). Si le texte est approuvé dans sa teneur actuelle, les auto­ri­tés euro­péennes pour­ront adres­ser une requête direc­te­ment à un four­nis­seur de services élec­tro­niques indé­pen­dam­ment de sa loca­li­sa­tion pour autant qu’il offre ses services dans l’UE (art. 1 par. 1). Le compro­mis actuel permet­trait en effet à une auto­rité euro­péenne inves­ti­guant un cas cyber d’envoyer un ordre de produc­tion de données à un four­nis­seur situé hors du terri­toire de l’UE, c’est-à-dire notam­ment en Suisse.

Or une telle obli­ga­tion semble diffi­ci­le­ment compa­tible avec la légis­la­tion suisse. L’art. 271 CP punit d’une peine priva­tive de liberté de trois ans au plus ou d’une peine pécu­niaire quiconque « sans y être auto­risé, aura procédé sur le terri­toire suisse pour un État étran­ger à des actes qui relèvent des pouvoirs publics ». Cet article vise à proté­ger la souve­rai­neté natio­nale et à s’assurer du fait que seules les auto­ri­tés étatiques suisses procèdent à des actes offi­ciels sur le terri­toire helvé­tique (ATF 148 IV 66). Cet article vise juste­ment à éviter le contour­ne­ment des procé­dures d’entraide inter­na­tio­nale et à proté­ger « le mono­pole du pouvoir étatique et la souve­rai­neté suisse » (ATF 148 IV 66). Selon la juris­pru­dence, l’élément central quant à l’acte incri­miné est celui de son carac­tère offi­ciel et non la fonc­tion de son auteur (ATF 114 IV 128).

Ce que cela signi­fie pour les entre­prises suisses

Les entre­prises suisses semble­raient devoir moins s’inquiéter des obli­ga­tions du DSA que de celles de l’e‑evidence, en ce qui concerne la four­ni­ture de rensei­gne­ments à l’étranger. Leur appli­ca­tion reste cepen­dant encore à confirmer.

Ainsi, tout entre­prise ou indé­pen­dant suisse a inté­rêt à s’assurer des limites légales de ses commu­ni­ca­tions avec les auto­ri­tés ou tribu­naux étrangers.

La voie de l’entraide judi­ciaire doit être emprun­tée pour toute commu­ni­ca­tion de rensei­gne­ments rela­tive à une procé­dure pénale ou civile instruite à l’étranger. Cela signi­fie concrè­te­ment qu’un four­nis­seur de services suisse ne peut répondre qu’aux ordres de produc­tion de rensei­gne­ments relayés par la police ou les minis­tères publics suisses (notam­ment par le biais des art. 265 et 273 CPP) ou par le Service Surveillance de la corres­pon­dance par poste et télé­com­mu­ni­ca­tion (Service SCPT) pour le volet pénal ou par les tribu­naux civils compétents.

Du point de vue des four­nis­seurs de services, de tels méca­nismes permettent géné­ra­le­ment de s’assurer de la léga­lité et de la légi­ti­mité des demandes reçues ainsi que de centra­li­ser les voies de commu­ni­ca­tion. Les risques de trans­mis­sion de données à une auto­rité inexis­tante (phishing) s’en trouvent égale­ment limitées.

L’imposition aux four­nis­seurs de services par l’Union euro­péenne d’obligations de trans­mis­sion directe de données aux auto­ri­tés étran­gères présente ainsi de nombreux risques et soulève de nombreuses ques­tions. Quelle option choi­sir entre accep­ter la demande étran­gère, trans­mettre les infor­ma­tions et risquer une sanc­tion de droit suisse ou refu­ser de colla­bo­rer et être condamné en Europe ? Une telle sanc­tion serait-elle recon­nue et appli­cable en Suisse ?

Même le RGPD, règle­ment pour­tant en vigueur depuis quelques années et jouis­sant d’une grande visi­bi­lité, ne peut nous venir en aide : il n’existe, à notre connais­sance, au moment de rédac­tion du présent article, aucun cas d’enfor­ce­ment de celui-ci en Suisse. La manière dont les tribu­naux inter­pré­te­ront et appli­que­ront cette loi en Suisse ou la recon­nais­sance des sanc­tions pronon­cées à l’étranger sur sa base restent encore incertaines.

La Confédération non plus ne semble pas vouloir répondre à ces ques­tions. Le Groupe de coor­di­na­tion inter­dé­par­te­men­tal de la Confédération « Politique numé­rique UE » (le Groupe de Coordination), agis­sant sous la coor­di­na­tion de l’OFCOM et du DFAE a récem­ment publié son docu­ment d’analyse « La Suisse et la stra­té­gie numé­rique de l’Union euro­péenne », présen­tant les diffé­rentes propo­si­tions de légis­la­tion euro­péenne concer­nant le numé­rique, et leur impact (poten­tiel) sur la Suisse. Ce docu­ment d’analyse se concentre prin­ci­pa­le­ment sur l’accès au marché euro­péen par les entre­prises suisses et reste muet sur les obli­ga­tions de trans­mis­sion de données et leur appli­ca­bi­lité au vu de l’art. 271 CP. Le Groupe de Coordination arrive à la conclu­sion qu’aucune action immé­diate n’est nécessaire.

Pour l’instant, la Confédération adopte une posi­tion de « wait and see », esti­mant qu’il est diffi­cile, voire impos­sible, d’évaluer les risques posés par une légis­la­tion avant son entrée en vigueur. Or une telle incer­ti­tude n’est nulle­ment souhai­table pour les enti­tés suisses poten­tiel­le­ment impac­tées par ces règle­ments. L’insécurité juri­dique à laquelle les four­nis­seurs de services font face en ce moment est grande et les ques­tions de prin­cipe auxquelles ils tentent de répondre nombreuses. Il devrait pour­tant reve­nir à la Confédération d’apporter ces réponses.

Cette posi­tion passive n’a pas manqué d’attirer l’attention du milieu poli­tique (Motion 21.3676, Bellaiche), dont une de ses repré­sen­tantes a déposé une motion forçant le Conseil fédé­ral à défi­nir sa posi­tion sur ces régle­men­ta­tions et à parti­ci­per acti­ve­ment aux négo­cia­tions euro­péennes. Le Conseil natio­nal a récem­ment adopté cette motion, à l’encontre de la recom­man­da­tion du Conseil fédé­ral, qui s’était contenté d’affirmer sa position.

Conclusion

Le dossier n’est donc large­ment pas encore clos. De nombreux projets spéci­fiques au domaine infor­ma­tique circulent actuel­le­ment au sein des auto­ri­tés légis­la­tives euro­péennes, la plupart visant à s’appliquer de manière extra­ter­ri­to­riale. Tout porte à croire que l’UE ne compte pas dimi­nuer la cadence ni chan­ger de stra­té­gie. L’insécurité juri­dique n’est pas prête d’être réso­lue par elle-même.

La solli­ci­ta­tion des entre­prises suisses par les auto­ri­tés de pour­suite étran­gères risque forte­ment d’augmenter ces prochaines années. Il est donc impor­tant de se rappe­ler des limites de la coopé­ra­tion pouvant être offerte, parti­cu­liè­re­ment au vu de l’art. 271 CP et de limi­ter autant que possible les contacts pouvant éven­tuel­le­ment être consi­dé­rés comme consti­tu­tifs d’un acte offi­ciel péna­le­ment répréhensible.

Si l’administration fédé­rale, et parti­cu­liè­re­ment l’OFJ, ne s’est pas encore pronon­cée sur ces points et sur leur inter­pré­ta­tion, elle peut en revanche prêter assis­tance dans des cas concrets. En atten­dant des éclair­cis­se­ments, nous ne pouvons qu’encourager les entre­prises et parti­cu­liers suisses à jouer la prudence et à deman­der de l’aide aux auto­ri­tés fédé­rales le cas échéant.