Bundesgericht
Tribunal fédéral
Tribunale federale
Tribunal federal
|
|
|
{T 0/2}
1B_142/2016
|
|
|
Arrêt du 16 novembre 2016
Ire Cour de droit public
Composition
MM. les Juges fédéraux Fonjallaz, Président, Merkli, Karlen, Eusebio et Kneubühler.
Greffier : M. Kurz.
Participants à la procédure
1. Google Switzerland GmbH,
2. A.________, p.a. Google Switzerland GmbH,
3. B.________, p.a. Google Switzerland GmbH,
tous les trois représentés par Mes Ralph Schlosser et Maud Fragnière, avocats,
recourants,
contre
Ministère public central du canton de Vaud, avenue de Longemalle 1, 1020 Renens VD.
Objet
procédure pénale; sommation de production de pièces relatives à un compte de messagerie électronique,
recours contre l'arrêt du Tribunal cantonal du canton de Vaud, Chambre des recours pénale, du 2 mars 2016.
Faits :
A.
Le 16 juin 2015, le Ministère public central du canton de Vaud a ouvert une instruction pénale contre inconnu pour violation du droit d'auteur, sur plainte/dénonciation de la SACEM, Société française des auteurs, compositeurs et éditeurs de musique. La plainte était dirigée contre l'administrateur d'un site internet, opérant sous l'identité "C.________ " à l'adresse électronique C.________@gmail.com. Celui-ci aurait diffusé à large échelle des oeuvres musicales en proposant des liens de téléchargements illicites, causant à la plaignante un dommage évalué à 97'269 euros.
Le 11 août 2015, le Ministère public a requis de la société Google Switzerland GmbH la production de l'identité du détenteur du compte Gmail précité, les adresses IP utilisées pour créer le compte, le log de connexions et les adresses IP en relation avec ces logs dès 2008 ainsi que le contenu privé du compte, sous la menace des peines prévues à l'art. 292 CP. Le 31 août 2015, la même ordonnance a été adressée, à Google Switzerland ainsi qu'à ses deux gérants A.________ et B.________, personnellement. Tous trois ont saisi la Chambre des recours pénale du Tribunal cantonal du canton de Vaud, expliquant notamment que les informations demandées étaient en mains de la société américaine Google Inc.
B.
Par arrêt du 2 mars 2016, la Chambre des recours pénale a rejeté le recours. Selon la jurisprudence cantonale, fondée sur celle de la Cour de justice de l'Union européenne, les filiales nationales de Google étaient habilitées à recevoir des injonctions des autorités (notamment en matière de protection des données) lorsqu'elles exerçaient une activité concrète dans le pays concerné, telle que la promotion, la vente et l'affichage d'espaces publicitaires, la vérification de la compatibilité avec les législations nationales ou toute autre activité assimilable à la représentation de la maison mère. Refusant de revenir sur sa jurisprudence, la cour cantonale a considéré que la messagerie électronique avait servi à la réalisation de l'infraction; l'ordre de production pouvait dès lors être adressé à la recourante et à ses gérants. Le délai de production a été prolongé au 31 mars 2016.
C.
Google Switzerland GmbH, A.________ et B.________ forment un recours contre ce dernier arrêt dont ils demandent la réforme en ce sens que la décision du Ministère public du 31 août 2015 est annulée. Ils demandent l'effet suspensif.
La cour cantonale se réfère aux considérants de sa décision, sans observations. Le Ministère public conclut au rejet du recours. Les parties ont déposé des observations complémentaires les 13 et 29 juin, puis le 8 juillet 2016.
Par ordonnance du 25 avril 2016, l'effet suspensif a été accordé.
Considérant en droit :
1.
Le recours en matière pénale, au sens de l'art. 78 al. 1 LTF, est en principe ouvert contre un ordre de perquisition ou de saisie pris au cours de la procédure pénale, et confirmée en dernière instance cantonale (art. 80 LTF).
1.1. La décision par laquelle l'autorité d'instruction ordonne la production de certaines pièces constitue une décision incidente, qui ne met pas fin à la procédure (ATF 128 I 129 consid. 1 p. 131; 126 I 97 consid. 1b p. 100 et les références). Conformément à l'art. 93 al. 1 let. a LTF, une telle décision ne peut faire l'objet d'un recours devant le Tribunal fédéral que si elle peut causer un préjudice irréparable. La clause prévue à l'art. 93 al. 1 let. b LTF (lorsque l'admission du recours est susceptible de conduire immédiatement à une décision finale) n'entre pas en considération en l'occurrence, s'agissant d'une simple mesure d'administration de preuves. La jurisprudence admet l'existence d'un préjudice irréparable lorsqu'un ordre de production de pièces est assorti de la menace des peines prévues à l'art. 292 CP. Le destinataire de l'injonction se trouve, en cas de refus, directement exposé à une poursuite pénale (arrêt 5P.350/2004 du 10 mai 2005, consid. 2). Tel est le cas en l'occurrence.
1.2. Les recourants ont participé à la procédure devant l'instance précédente. Ils sont tous destinataires de l'ordre de production confirmé par la cour cantonale et disposent ainsi d'un intérêt juridique à l'annulation ou à la modification de la décision attaquée. Il y a lieu, par conséquent, d'entrer en matière, le recours ayant été déposé dans les formes et le délai utiles.
2.
Dans un premier grief, d'ordre formel, les recourants reprochent à la cour cantonale de n'avoir pas expliqué en quoi l'art. 265 CPP s'appliquerait aux données informatiques alors que ce sont les art. 269 ss CPP qui tiennent lieu de lex specialis à ce sujet. En outre, l'argument relatif au principe de territorialité n'aurait pas du tout été traité.
2.1. Le droit d'être entendu (art. 29 al. 2 Cst.) implique notamment pour l'autorité l'obligation de motiver sa décision. Selon la jurisprudence, il suffit que le juge mentionne, au moins brièvement, les motifs qui l'ont guidé et sur lesquels il a fondé sa décision, de manière à ce que l'intéressé puisse se rendre compte de la portée de celle-ci et l'attaquer en connaissance de cause. Il n'a pas l'obligation d'exposer et de discuter tous les faits, moyens de preuve et griefs invoqués par les parties, mais peut au contraire se limiter à l'examen des questions décisives pour l'issue du litige (ATF 141 V 57 consid. 3.2.1 p. 564 s.; 137 II 266 consid. 3.2 p. 270; 136 I 229 consid. 5.2 p. 236). L'autorité se rend en revanche coupable d'un déni de justice formel prohibé par l'art. 29 al. 2 Cst. si elle omet de se prononcer sur des griefs qui présentent une certaine pertinence ou de prendre en considération des allégués et arguments importants pour la décision à rendre (cf. ATF 141 V 57 consid. 3.2.1 p. 564 s.; 133 III 235 consid. 5.2 p. 248).
2.2. Pour l'essentiel, l'arrêt attaqué est fondé sur la considération qu'une filiale sise en Suisse peut être appelée à fournir elle-même des documents et renseignements en application de l'art. 265 CPP. L'application de cette disposition est justifiée par référence à l'ATF 138 IV 209. Cela constitue une motivation formellement suffisante que les recourants sont à même de contester. La cour cantonale ne s'est certes pas exprimée spécifiquement sur le grief relatif au principe de la territorialité, pourtant soulevé dans le recours cantonal. Elle a toutefois considéré (consid. 2.3 de l'arrêt cantonal) que si la recourante sise en Suisse pouvait recevoir des injonctions des autorités suisses, elle ne pouvait pas se retrancher derrière l'indépendance des deux sociétés, ni invoquer la loi américaine, ni encore alléguer des impossibilités d'ordre technique, ajoutant que la société suisse pouvait représenter la maison mère et que la mesure pouvait être mise en oeuvre à l'étranger. Cela répond dans une certaine mesure aux objections des recourants, lesquels peuvent reprendre céans leur argumentation à ce propos. Il n'y a pas par conséquent de violation de l'obligation de motiver.
3.
Les recourants invoquent ensuite le principe de territorialité. Ils relèvent que le système de messagerie électronique Gmail est exploité en Californie par la société américaine Google Inc., de sorte que les moyens de preuve requis ne pourraient être obtenus que par la voie de l'entraide judiciaire. Selon la Convention de Budapest sur la cybercriminalité (CCC, RS 0.311.43), un accès unilatéral à des données électroniques stockées dans un autre Etat ne serait possible qu'à des conditions exceptionnelles (consentement du titulaire ou accès libre des données, art. 32 CCC), en l'occurrence non réalisées. Si elle avait accès à ces données, la filiale suisse ne pourrait les fournir sans s'exposer elle-même à des poursuites en vertu de l'art. 299 CP et des dispositions du droit américain. Faute d'être détenteurs des données requises, les recourants ne pourraient faire l'objet d'une obligation de dépôt prévue à l'art. 265 CPP. La référence à la jurisprudence "Google Streetview" et à celle de la CJUE serait sans rapport avec la question de la détention des données.
Les recourants soutiennent aussi que l'art. 265 CPP (ordre de dépôt) ne serait pas applicable à des données d'un compte de messagerie électronique, et qu'il y aurait lieu d'appliquer les dispositions des art. 269ss (surveillance des télécommunications). Or, l'infraction poursuivie (violation du droit d'auteur) ne fait pas partie de la liste figurant à l'art. 269 al. 2 CPP. En outre, l'autorisation du Tribunal des mesures de contrainte (art. 272 al. 1 CPP) ferait également défaut. Cette question, qui concerne le fondement même de l'ordre de production, doit être examinée en premier lieu.
3.1. L'art. 265 CPP permet à l'autorité d'instruction d'obtenir auprès de leurs détenteurs les objets ou valeurs qui doivent être séquestrés en application de l'art. 263 CPP. L'ordre peut être assorti d'une commination de la peine prévue à l'art. 292 CP (art. 265 al. 3 CPP). L'ordre de dépôt permet à son destinataire de fournir volontairement les objets ou valeurs requis, sans recourir à des mesures de contrainte (art. 265 al. 4 CPP).
Pour ce qui concerne en revanche la surveillance de la correspondance par poste et télécommunication, les art. 269 ss CPP prévoient des conditions spécifiques telles qu'une liste d'infractions autorisant le recours à cette mesure (art. 269 al. 2 CPP) et l'intervention du tribunal des mesures de contrainte (art. 272 al. 1 CPP). Le champ d'application de l'art. 269 CPP est défini à l'art. 1 de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT, RS 780.1). Celle-ci s'applique à tous les organismes étatiques, aux organismes soumis à concession ou à l'obligation d'annoncer qui fournissent des services postaux ou de télécommunication ainsi qu'aux fournisseurs d'accès à Internet. Selon la définition figurant à l'annexe de l'ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT, RS 780.11), un fournisseur d'accès à internet est un fournisseur de services de télécommunication ou le secteur d'un fournisseur de services de télécommunication qui offre une prestation publique de transmission d'informations sur la base de la technologie IP et d'adresses IP. Un simple fournisseur de services tel que messagerie électronique ne rentre pas dans cette catégorie puisqu'il ne fournit pas lui-même d'accès à Internet au sens qui précède. C'est d'ailleurs pour remédier à cette lacune qu'une modification de la LSCPT a été proposée, élargissant notamment le champ d'application de la loi à raison des personnes. Comme le relève le message à l'appui de cette modification (FF 2013 2379), la nouvelle teneur de la loi vise également les "fournisseurs de services de communication dérivés", qui ne constituent ni des fournisseurs d'accès, ni des fournisseurs de services de télécommunication, mais qui jouent un rôle dans le processus de correspondance par télécommunication, en particulier par internet (FF 2013 2403-2404). Sont ainsi notamment visés à l'art. 2 let. c du projet de LSCPT les fournisseurs de services Internet qui permettent la communication unilatérale ou multilatérale, en particulier les services e-mail. Dans sa teneur actuelle, les art. 269 ss CPP ne s'appliquent donc pas à ce genre de services.
Compte tenu de cette lacune, le Procureur pouvait se fonder directement sur la disposition générale de l'art. 265 CPP pour édicter un ordre de production. Le grief tiré d'une violation des art. 265 et 269 CPP doit dès lors être écarté.
3.2. Destiné à accroître l'efficacité de la coopération internationale dans ce domaine, la CCC, entrée en vigueur pour la Suisse le 1
er janvier 2012, consacre une notion de "fournisseur de services" plus large que le droit suisse actuel. L'expression désigne en effet "toute entité publique ou privée qui offre aux utilisateurs de ses services la possibilité de communiquer au moyen d'un service informatique ou toute autre entité traitant ou stockant des données informatiques pour ce service de communication ou ses utilisateurs". La convention n'en repose pas moins sur le principe de la territorialité, selon lequel un Etat n'est pas habilité à prendre des mesures d'instruction et de poursuite pénale sur le territoire d'un autre Etat (ATF 141 IV 108 consid. 5.3 p. 121 et les références citées). Pour ce faire, l'Etat demandeur doit agir par le biais de l'entraide internationale (art. 23 ss CCC) et dispose, en vertu de la convention, de divers instruments destinés à en faciliter l'exécution (conservation rapide de données informatiques stockées selon l'art. 29 CCC) voire à la contourner (accès transfrontière à des données stockées, avec consentement ou lorsqu'elles sont accessibles au public, selon l'art. 32 CCC; ATF 141 IV 108 consid. 4.3.8 ss p. 119).
Le message relatif à la modification de la LSCPT relève à ce titre que la nouvelle définition du champ d'application ratione materie de la loi ne doit pas susciter des espoirs démesurés, "dès lors que beaucoup de fournisseurs importants de services Internet ont leur siège et leur infrastructure à l'étranger. L'ouverture de certains comptes e-mail sis à l'étranger par des personnes vivant en Suisse, soit des services en soi contrôlables, est un exemple qui illustre cet état de fait. Prévoir, de manière générale, que les autorités suisses pourraient sans problème accéder aux données voulue serait donc irréaliste et problématique, puisque cela heurterait le principe de la territorialité des lois" (FF 2013 2404).
3.3. Selon l'art. 18 CCC, chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour habiliter ses autorités compétentes à ordonner à une personne présente sur son territoire de communiquer les données informatiques spécifiées, en sa possession ou sous son contrôle, qui sont stockées dans un système informatique ou un support de données informatiques (al. 1 let. a) ou à un fournisseur de services offrant des prestations sur le territoire de la Partie, de communiquer les données en sa possession ou sous son contrôle relatives aux abonnés et concernant de tels services (let. b). Contrairement à ce que soutiennent les recourants, le lieu de stockage des données n'est à lui seul pas déterminant puisqu'il peut s'agir d'un emplacement aléatoire, impossible à définir a priori, et susceptible de changer rapidement, les centres de données étant très largement répartis géographiquement. Rien ne permet d'ailleurs d'affirmer, comme le font les recourants, que les données relatives à un compte Gmail seraient nécessairement - et uniquement - stockées aux Etats-Unis.
3.4. Se référant à l'ATF 138 II 346, la cour cantonale a considéré que la recourante Google Switzerland GmbH était "habilitée à recevoir des injonctions de la part des autorités suisses" dès lors qu'elle exerçait une activité concrète en Suisse. L'arrêt précité se rapporte à une cause de droit public relative à la protection des données: la société suisse impliquée était en lien direct avec l'activité concernant Google Street View (en particulier la production et le traitement des images, le traitement des demandes d'effacement), étant toutefois précisé que l'on ne pouvait retenir un rapport de représentation entre les sociétés suisse et américaine, raison pour laquelle les recommandations ont été adressées aux deux sociétés (consid. 4 non publié). Cette jurisprudence de droit public ne saurait s'appliquer en matière pénale lorsqu'une autorité de poursuite exige la production de preuves en application de l'art. 265 CPP.
3.5. En l'occurrence, si Google Switzerland GmbH exerce notamment un contrôle de la compatibilité avec le droit suisse du contenu des blogs hébergés "par un site dont elle est l'administratrice", ainsi que d'autres activités en lien avec les annonces publicitaires, elle conteste en revanche intervenir à un titre ou un autre lors de l'ouverture ou de l'exploitation d'un compte Gmail, le système de messagerie étant, aux dires des recourants, du seul ressort de la société américaine. Quant au pouvoir de représentation que la cour cantonale lui impute, il peut certes être reconnu dans d'autres matières du droit (cf. ATF 138 II 346 dans le domaine de la protection des données) ou pour ce qui concerne les autres activités spécifiques de la société sise en Suisse, mais non dans le cadre d'une procédure pénale nécessitant l'accès aux données de la messagerie Gmail.
3.6. En l'état, il n'est donc pas démontré que la société suisse ait un accès direct ou une quelconque maîtrise sur les données relatives à ce service de messagerie. Or, il découle des dispositions tant de la CCC (art. 18,
"en sa possession ou sous son contrôle") que du CPP (art. 265,
le détenteur) que la personne visée par l'injonction de produire doit être le possesseur ou le détenteur des données visées, ou tout au moins en avoir le contrôle, c'est-à-dire avoir un pouvoir de disposition, en fait et en droit, sur ces données.
Cette question n'a pas été instruite par les autorités précédentes. La Chambre des recours pénale a considéré que Google Switzerland avait pour mission d'examiner la compatibilité des contenus avec les législations suisse et autrichienne. Le Ministère public estime quant à lui que l'impossibilité alléguée par les recourants relèverait d'une problématique d'organisation interne. Quant aux recourants, ils affirment que seule la société américaine serait détentrice des données requises; sa filiale suisse n'aurait aucun pouvoir de disposition en relation avec les données concernées dès lors que l'exploitation du système électronique serait du seul ressort de Google Inc. Ils se réfèrent certes à une décision rendue dans ce sens le 29 octobre 2012 par l'Obergericht du canton de Zurich, mais ne présentent aucun moyen de preuve susceptible de démontrer qu'elle n'aurait effectivement aucun droit d'accès aux données litigieuses, et que la maîtrise de ces données reviendrait à la seule société sise aux Etats-Unis. Ces simples déclarations à ce propos apparaissent insuffisantes pour faire échec à l'ordre de production du Ministère public. La cause doit par conséquent être renvoyée à la cour cantonale pour complément d'instruction sur ce point. Les recourants devront collaborer à l'administration des preuves à ce propos s'ils entendent démontrer qu'ils n'ont aucun accès au renseignements requis ou qu'ils engageraient, pénalement ou civilement, leur responsabilité en donnant suite à l'ordre de production (art. 65 al. 2 let. c CPP).
S'il devait apparaître que la société suisse ne peut effectivement pas, en fait ou en droit, disposer des données requises par le Ministère public, celui-ci n'aura d'autre choix que de s'adresser par voie d'entraide judiciaire aux autorités américaines pour obtenir les renseignements désirés (cf. consid. 3.2 ci-dessus; ATF 141 IV 108 consid. 5.3 p. 212).
4.
Sur le vu de ce qui précède, le recours est admis. L'arrêt attaqué est annulé et la cause est renvoyée à la cour cantonale pour nouvelle décision au sens des considérants. Conformément à l'art. 66 al. 4 LTF, il n'est pas perçu de frais judiciaires. L'Etat de Vaud versera toutefois une indemnité de dépens aux recourants (art. 68 al. 1 LTF).
Par ces motifs, le Tribunal fédéral prononce :
1.
Le recours est admis. L'arrêt attaqué est annulé et la cause est renvoyée à la cour cantonale pour nouvelle décision au sens des considérants.
2.
Une indemnité de dépens de 2'000 fr. est allouée aux recourants, à la charge du canton de Vaud.
3.
Il n'est pas perçu de frais judiciaires.
4.
Le présent arrêt est communiqué aux mandataires des recourants, au Ministère public central du canton de Vaud et au Tribunal cantonal du canton de Vaud, Chambre des recours pénale.
Lausanne, le 16 novembre 2016
Au nom de la Ire Cour de droit public
du Tribunal fédéral suisse
Le Président : Fonjallaz
Le Greffier : Kurz