- La motion demande que les fournisseurs internationaux de médias sociaux ayant des utilisateurs suisses aient une représentation en Suisse qui puisse transmettre directement des données aux autorités pénales.
- Le Conseil fédéral estime que le modèle proposé est difficilement applicable et reconnaît que la souveraineté des données à l’étranger rend difficile toute obligation directe.
- Au lieu de cela, la Suisse poursuit des coopérations internationales, notamment dans le cadre du Conseil de l’Europe/Cybercrime, afin d’accélérer la livraison de données transfrontalières.
Texte soumis
Le Conseil fédéral est chargé d’élaborer une modification de la loi fédérale sur la protection des données, de la loi sur les télécommunications ou d’une autre loi appropriée ayant l’ambition suivante : Les réseaux sociaux dont les services s’adressent aux consommateurs suisses et qui traitent des données personnelles à cette occasion doivent disposer d’une représentation en Suisse qui puisse transmettre directement aux autorités de poursuite pénale suisses les données nécessaires à la procédure, sans que l’autorité concernée doive demander l’entraide judiciaire internationale en matière pénale.
Justification
Dans son rapport en réponse au postulat 11.3912 le Conseil fédéral s’est exprimé comme suit sur les réseaux sociaux : “Sur la base des expériences faites jusqu’à présent, aucune lacune réglementaire majeure ne saute aux yeux dans le droit suisse en vigueur”. Malheureusement, la jurisprudence récente montre que la situation a changé. Dans l’arrêt du Tribunal fédéral 1B_185/2016, 1B_186/2016 et 1B_188/2016 du 16 novembre 2016, le Tribunal fédéral a donné raison à Facebook Suisse au détriment du Ministère public vaudois, qui avait exigé la remise de données personnelles d’utilisateurs dans le cadre d’une procédure pénale. En effet, Facebook Suisse n’est compétent que pour les questions de marketing, ne dispose d’aucune donnée et n’y a pas accès. Le ministère public doit donc s’adresser à Facebook Irlande par le biais d’une commission rogatoire internationale. (Facebook Irlande dispose des données des utilisateurs suisses). Il s’agit d’une procédure longue et fastidieuse dont l’issue est incertaine.
Cette situation n’est pas satisfaisante. Les réseaux sociaux comme Facebook, qui offrent leurs services aux consommateurs suisses, sont actifs en Suisse sans y disposer d’une succursale. Ils doivent donc pouvoir être tenus responsables ou coopérer avec la justice comme toute autre personne physique ou morale.
La procédure menée et gagnée par la Belgique contre Yahoo Inc. (cf. arrêt de la Cour de cassation belge du 1er décembre 2015) montre qu’il est tout à fait possible d’obliger les fournisseurs de services Internet à coopérer avec la justice nationale, même dans les États où ils n’ont pas de représentation ou – comme dans l’affaire Facebook Suisse contre le Ministère public vaudois – même si la représentation n’a pas accès aux données des utilisateurs.
Avis du Conseil fédéral du 15.2.2018
La motion demande que les entreprises de médias sociaux actives au niveau international doivent disposer d’une représentation en SuisseLa représentation doit être assurée par un représentant de la Suisse lorsqu’elle offre des services aux consommateurs suisses et traite leurs données personnelles. Cette représentation doit pouvoir fournir des données aux autorités suisses dans le cadre de procédures pénales, sans qu’une demande d’entraide judiciaire à un autre Etat soit nécessaire.
Pour un modèle tel que celui proposé par la motion, il n’existe pas de modèles dans d’autres pays.. Le cas belge mentionné dans la motion n’est pas transposable à l’objet de l’intervention : En effet, la demande a été envoyée directement par les autorités de poursuite belges à Yahoo ! Inc. (États-Unis), car la société n’avait pas de représentant en Belgique. Dans une autre affaire, Microsoft Corporation (USA) n’a pas pu être obligée par les autorités américaines de remettre des e‑mails stockés en Irlande en raison de la territorialité des lois. Toutefois, la même décision de justice indique que cette situation n’est pas satisfaisante.
Le Conseil fédéral estime également que la situation actuelle n’est pas satisfaisante et cherche des solutions praticables et justiciables. Il estime toutefois que la voie proposée par la motion n’est pas prometteuse.L’obligation pour une entreprise dont l’offre de médias sociaux peut également être utilisée depuis la Suisse d’établir une représentation dans notre pays ne pourrait guère être imposée. De plus, une entreprise de médias sociaux disposant d’une représentation en Suisse pourrait être obligée de transmettre des données si nécessaire. Mais si les données sont stockées à l’étranger, une telle obligation ne pourrait pas être imposée directement par les autorités.. Dans ce cas également, les données devraient être réclamées par le biais de l’entraide judiciaire.
Conformément à l’orientation transfrontalière des médias sociaux, les solutions doivent être recherchées en premier lieu dans le cadre d’une coopération internationale. Il ne s’agit pas de contourner unilatéralement l’entraide judiciaire, mais de s’efforcer d’améliorer et d’accélérer la coopération. Des efforts en ce sens sont en cours au niveau international. Le Comité de cybercriminalité du Conseil de l’Europe, auquel appartiennent également des pays comme les Etats-Unis, le Japon, le Canada ou l’Australie, travaille sur des propositions afin que les autorités de poursuite pénale puissent accéder dans un délai raisonnable aux données électroniques périphériques ou relatives au trafic à l’étranger. En collaboration avec d’autres Etats parties, la Suisse s’efforce de trouver une solution pratique dans le cadre de la Convention sur la cybercriminalité.
Le Conseil fédéral est donc déjà en train d’examiner, sans préjuger des résultats, des mesures permettant d’accélérer la restitution des données, en tenant soigneusement compte des principes de souveraineté et de territorialité des États, ainsi que de l’entraide judiciaire en matière pénale et de la protection des données.