swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Le séquestre de données en entraide pénale internationale : qui peut s’y opposer ?

Célian Hirsch, le 28 février 2021
Seule la société qui dispose de l’accès physique aux data rooms est titu­laire de la qualité pour recou­rir en matière d’entraide pénale inter­na­tio­nale. Le dépo­sant ou la personne qui détient des droits civils sur les données ne peut pas recou­rir contre l’ordonnance de clôture.

Arrêt du Tribunal pénal fédé­ral du 21 juillet 2020 RR.2020.11, RR.2020.12, confirmé par l’ar­rêt du Tribunal fédé­ral du 5 août 2020 1C_​423/​2020.

Le Ministère public de la Confédération ouvre une procé­dure pénale contre plusieurs personnes physiques et morales (art. 102 al. 2 CP) pour corrup­tion (art. 322septies CP), faux dans les titres (art. 251 CP) et blan­chi­ment d’argent quali­fié (art. 305bis al. 2 CP). Dans le cadre de cette procé­dure, il séquestre des supports de données qui se trouvent dans les locaux de deux socié­tés genevoises.

Après avoir reçu des demandes d’en­traide pénale inter­na­tio­nale visant la trans­mis­sion de ces données, une société préve­nue demande à ce que la qualité de partie lui soit recon­nue dans la procé­dure d’en­traide. En effet, les données séques­trées la concer­ne­raient, même si elles n’étaient pas stockées au sein de ses locaux. Elle soutient en parti­cu­lier qu’elle avait un accès exclu­sif à distance aux data rooms stockées chez les socié­tés gene­voises puis­qu’elle y louait un centre de données. Elle avait ainsi un pouvoir de dispo­si­tion direct sur les données séquestrées.

Après avoir vu son argu­men­ta­tion reje­tée par le MPC, la société saisit le Tribunal pénal fédéral.

Selon l’art. 21 al. 3 EIMP, la personne visée par la procé­dure pénale étran­gère ne peut atta­quer une déci­sion que si elle est person­nel­le­ment et direc­te­ment touchée par une mesure d’entraide et a un inté­rêt digne de protec­tion à ce qu’elle soit annu­lée ou modi­fiée. L’art. 80h let. b EIMP précise que la qualité pour recou­rir est octroyée à toute personne qui est person­nel­le­ment et direc­te­ment touchée par une mesure d’entraide et qui a un inté­rêt digne de protec­tion à ce qu’elle soit annu­lée ou modifiée.

Selon la juris­pru­dence, la qualité pour recou­rir n’est recon­nue qu’aux personnes qui ont une « proxi­mité rela­tion­nelle spéci­fique » avec la déci­sion de clôture (« spezi­fische Beziehungsnähe » ; ATF 137 IV 134 c. 5.2.1). Ainsi, la qualité pour recou­rir des personnes indi­rec­te­ment touchées, par exemple celles qui ne détiennent pas les docu­ments saisis, doit en prin­cipe être refusée.

Le séquestre de docu­ments qui sont en mains de tiers ne peut pas être contesté par une personne qui n’est qu’in­di­rec­te­ment concer­née par la mesure de contrainte. Cela s’ap­plique égale­ment si les docu­ments contiennent des infor­ma­tions sur les acti­vi­tés de la personne indi­rec­te­ment concer­née. Ainsi, ni le proprié­taire civil ni le dépo­sant ne peuvent recou­rir contre la déci­sion de clôture visant à trans­mettre des docu­ments séques­trés auprès d’un dépositaire.

Le Tribunal pénal fédé­ral consi­dère que ces règles ne s’ap­pliquent pas que pour les docu­ments physiques, mais égale­ment pour les données élec­tro­niques, ce que le Tribunal fédé­ral confir­mera de façon laconique.

En l’es­pèce, les supports de données ont été séques­trés au sein de deux socié­tés gene­voises, avant que les données soient sécu­ri­sées et exami­nées par la police scien­ti­fique. Il ressort du rapport de police que l’ins­tal­la­tion était compa­rable à un bureau « hors site » par lequel les utili­sa­teurs se connec­taient à distance pour y travailler. Les parties étaient en parti­cu­lier liées par un Master Service Agreement.

Cela étant, le Tribunal pénal fédé­ral consi­dère que l’ac­cès physique aux supports de données est déter­mi­nant. Dans une telle constel­la­tion, seuls le dépo­si­taire et le proprié­taire des dispo­si­tifs de stockage élec­tro­nique de données saisis sont habi­li­tés à recou­rir et non leur dépo­sant, leur proprié­taire ou toute autre personne y dispo­sant de droits. Le fait que la société préve­nue pouvait accé­der à distance aux données en ques­tion ne lui confère donc pas un droit de recours.

La société recou­rante n’est ainsi touchée que de façon indi­recte par la mesure de contrainte. Partant, elle ne dispose pas de la qualité de recou­rir. Seules les socié­tés gene­voises séques­trées pouvaient donc recou­rir contre la déci­sion de clôture.

Même si le Tribunal fédé­ral déclare le recours irre­ce­vable, car il ne s’agit pas d’une ques­tion juri­dique de prin­cipe (au sens de l’art. 84a LTF), il souligne tout de même qu’il partage plei­ne­ment le raison­ne­ment du Tribunal pénal fédéral.

Selon Gotham City et ICIJ, cette affaire concerne les données que Safe Host SA stockait pour Odebrecht, société brési­lienne touchée par une affaire de corrup­tion. Ces données permet­traient ainsi de décou­vrir les divers flux d’argent afin de retrou­ver les personnes poten­tiel­le­ment corrompues.

Au-delà des circons­tances parti­cu­lières de l’af­faire concrète, l’ab­sence de qualité pour recou­rir de la société préve­nue démontre, une fois de plus, la possible perte de contrôle des données lorsque celles-ci sont stockées dans un cloud. De ce fait, les socié­tés qui exter­na­lisent la conser­va­tion de leurs données doivent désor­mais être conscientes de ce nouveau risque en matière d’en­traide pénale inter­na­tio­nale. L’avenir nous dira si les auto­ri­tés pénales étran­gères se montre­ront de plus en plus inté­res­sées par les nombreuses données héber­gées dans des Data Center suisses.

Cela étant dit, se pose la ques­tion de savoir si l’ana­lo­gie entre les docu­ments physiques et les données est véri­ta­ble­ment convain­cante d’un point de vue juri­dique. Contrairement aux docu­ments dépo­sés auprès d’un dépo­si­taire, la personne qui « dépose » ses données dans un cloud peut garder une maîtrise rela­ti­ve­ment impor­tante de ses données. Non seule­ment elle y dispose d’un accès instan­tané à distance, mais elle peut en plus les modi­fier ou les suppri­mer à tout moment, en prin­cipe sans inter­ven­tion humaine. Serait-il dès lors oppor­tun de recon­naître aux « titu­laires » des données, comme les titu­laires de comptes bancaires (art. 9a let. b OEIMP), la qualité de partie dans une procé­dure pénale inter­na­tio­nale visant à trans­mettre leurs données ?

Dans l’at­tente d’une éven­tuelle modi­fi­ca­tion de juris­pru­dence, les socié­tés qui recourent au cloud devraient expres­sé­ment prévoir contrac­tuel­le­ment une obli­ga­tion à la charge du pres­ta­taire cloud d’uti­li­ser toutes les voies de droit possibles afin de défendre les inté­rêts des clients dont les données ont été séques­trées. L’intégration de clauses contrac­tuelles bien rédi­gées est ici aussi essen­tielle, comme il en va d’ailleurs pour dimi­nuer les autres risques du cloud.

 



Proposition de citation : Célian Hirsch, Le séquestre de données en entraide pénale internationale : qui peut s’y opposer ?, 28 février 2021 in www.swissprivacy.law/58


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • US CLOUD Act – un aperçu
  • Peut-on encore, en Suisse, recourir à des services cloud offerts par Microsoft ?
  • Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une déclaration d’intérêts afin de lutter contre…
  • Fuite de données hautement sensibles : amende salée pour le sous-traitant
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law