Arrêt du Tribunal pénal fédé­ral du 21 juillet 2020 RR.2020.11, RR.2020.12, confirmé par l’ar­rêt du Tribunal fédé­ral du 5 août 2020 1C_​423/​2020.

Le Ministère public de la Confédération ouvre une procé­dure pénale contre plusieurs personnes physiques et morales (art. 102 al. 2 CP) pour corrup­tion (art. 322^septies CP), faux dans les titres (art. 251 CP) et blan­chi­ment d’argent quali­fié (art. 305^bis al. 2 CP). Dans le cadre de cette procé­dure, il séquestre des supports de données qui se trouvent dans les locaux de deux socié­tés genevoises.

Après avoir reçu des demandes d’en­traide pénale inter­na­tio­nale visant la trans­mis­sion de ces données, une société préve­nue demande à ce que la qualité de partie lui soit recon­nue dans la procé­dure d’en­traide. En effet, les données séques­trées la concer­ne­raient, même si elles n’étaient pas stockées au sein de ses locaux. Elle soutient en parti­cu­lier qu’elle avait un accès exclu­sif à distance aux data rooms stockées chez les socié­tés gene­voises puis­qu’elle y louait un centre de données. Elle avait ainsi un pouvoir de dispo­si­tion direct sur les données séquestrées.

Après avoir vu son argu­men­ta­tion reje­tée par le MPC, la société saisit le Tribunal pénal fédéral.

Selon l’art. 21 al. 3 EIMP, la personne visée par la procé­dure pénale étran­gère ne peut atta­quer une déci­sion que si elle est person­nel­le­ment et direc­te­ment touchée par une mesure d’entraide et a un inté­rêt digne de protec­tion à ce qu’elle soit annu­lée ou modi­fiée. L’art. 80h let. b EIMP précise que la qualité pour recou­rir est octroyée à toute personne qui est person­nel­le­ment et direc­te­ment touchée par une mesure d’entraide et qui a un inté­rêt digne de protec­tion à ce qu’elle soit annu­lée ou modifiée.

Selon la juris­pru­dence, la qualité pour recou­rir n’est recon­nue qu’aux personnes qui ont une « proxi­mité rela­tion­nelle spéci­fique » avec la déci­sion de clôture (« spezi­fische Beziehungsnähe » ; ATF 137 IV 134 c. 5.2.1). Ainsi, la qualité pour recou­rir des personnes indi­rec­te­ment touchées, par exemple celles qui ne détiennent pas les docu­ments saisis, doit en prin­cipe être refusée.

Le séquestre de docu­ments qui sont en mains de tiers ne peut pas être contesté par une personne qui n’est qu’in­di­rec­te­ment concer­née par la mesure de contrainte. Cela s’ap­plique égale­ment si les docu­ments contiennent des infor­ma­tions sur les acti­vi­tés de la personne indi­rec­te­ment concer­née. Ainsi, ni le proprié­taire civil ni le dépo­sant ne peuvent recou­rir contre la déci­sion de clôture visant à trans­mettre des docu­ments séques­trés auprès d’un dépositaire.

Le Tribunal pénal fédé­ral consi­dère que ces règles ne s’ap­pliquent pas que pour les docu­ments physiques, mais égale­ment pour les données élec­tro­niques, ce que le Tribunal fédé­ral confir­mera de façon laconique.

En l’es­pèce, les supports de données ont été séques­trés au sein de deux socié­tés gene­voises, avant que les données soient sécu­ri­sées et exami­nées par la police scien­ti­fique. Il ressort du rapport de police que l’ins­tal­la­tion était compa­rable à un bureau « hors site » par lequel les utili­sa­teurs se connec­taient à distance pour y travailler. Les parties étaient en parti­cu­lier liées par un Master Service Agreement.

Cela étant, le Tribunal pénal fédé­ral consi­dère que l’ac­cès physique aux supports de données est déter­mi­nant. Dans une telle constel­la­tion, seuls le dépo­si­taire et le proprié­taire des dispo­si­tifs de stockage élec­tro­nique de données saisis sont habi­li­tés à recou­rir et non leur dépo­sant, leur proprié­taire ou toute autre personne y dispo­sant de droits. Le fait que la société préve­nue pouvait accé­der à distance aux données en ques­tion ne lui confère donc pas un droit de recours.

La société recou­rante n’est ainsi touchée que de façon indi­recte par la mesure de contrainte. Partant, elle ne dispose pas de la qualité de recou­rir. Seules les socié­tés gene­voises séques­trées pouvaient donc recou­rir contre la déci­sion de clôture.

Même si le Tribunal fédé­ral déclare le recours irre­ce­vable, car il ne s’agit pas d’une ques­tion juri­dique de prin­cipe (au sens de l’art. 84a LTF), il souligne tout de même qu’il partage plei­ne­ment le raison­ne­ment du Tribunal pénal fédéral.

Selon Gotham City et ICIJ, cette affaire concerne les données que Safe Host SA stockait pour Odebrecht, société brési­lienne touchée par une affaire de corrup­tion. Ces données permet­traient ainsi de décou­vrir les divers flux d’argent afin de retrou­ver les personnes poten­tiel­le­ment corrompues.

Au-delà des circons­tances parti­cu­lières de l’af­faire concrète, l’ab­sence de qualité pour recou­rir de la société préve­nue démontre, une fois de plus, la possible perte de contrôle des données lorsque celles-ci sont stockées dans un cloud. De ce fait, les socié­tés qui exter­na­lisent la conser­va­tion de leurs données doivent désor­mais être conscientes de ce nouveau risque en matière d’en­traide pénale inter­na­tio­nale. L’avenir nous dira si les auto­ri­tés pénales étran­gères se montre­ront de plus en plus inté­res­sées par les nombreuses données héber­gées dans des Data Center suisses.

Cela étant dit, se pose la ques­tion de savoir si l’ana­lo­gie entre les docu­ments physiques et les données est véri­ta­ble­ment convain­cante d’un point de vue juri­dique. Contrairement aux docu­ments dépo­sés auprès d’un dépo­si­taire, la personne qui « dépose » ses données dans un cloud peut garder une maîtrise rela­ti­ve­ment impor­tante de ses données. Non seule­ment elle y dispose d’un accès instan­tané à distance, mais elle peut en plus les modi­fier ou les suppri­mer à tout moment, en prin­cipe sans inter­ven­tion humaine. Serait-il dès lors oppor­tun de recon­naître aux « titu­laires » des données, comme les titu­laires de comptes bancaires (art. 9a let. b OEIMP), la qualité de partie dans une procé­dure pénale inter­na­tio­nale visant à trans­mettre leurs données ?

Dans l’at­tente d’une éven­tuelle modi­fi­ca­tion de juris­pru­dence, les socié­tés qui recourent au cloud devraient expres­sé­ment prévoir contrac­tuel­le­ment une obli­ga­tion à la charge du pres­ta­taire cloud d’uti­li­ser toutes les voies de droit possibles afin de défendre les inté­rêts des clients dont les données ont été séques­trées. L’intégration de clauses contrac­tuelles bien rédi­gées est ici aussi essen­tielle, comme il en va d’ailleurs pour dimi­nuer les autres risques du cloud.