BGE 143 IV 21
 
4. Extrait de l'arrêt de la Ire Cour de droit public dans la cause Facebook Switzerland Sàrl, A. et B. contre Ministère public central du canton de Vaud (recours en matière pénale)
 
1B_185/2016 et autres du 16 novembre 2016
 
Regeste
Art. 265, 269 ff. StPO, Art. 18 CCC; Editionsbefehl betreffend Daten eines Facebook-Accounts.
 
Sachverhalt
A. Le 22 avril 2015, un journaliste belge a déposé plainte pénale en Suisse contre inconnu. Il indiquait avoir été traité notamment d'antisémite sur la partie publique d'un compte Facebook détenu sous le pseudonyme "D.". Une instruction a été ouverte par le Ministère public central du canton de Vaud, pour calomnie, diffamation et injure.
Le 29 juin 2015, le Ministère public a requis de la société Facebook Switzerland Sàrl (ci-après: Facebook Suisse) la production de l'identité du détenteur du compte précité, les adresses IP utilisées pour créer le profil, les logs de connexions et les adresses IP en relation avec ces logs ainsi que le contenu privé du compte, sous la menace des peines prévues à l'art. 292 CP. Après plusieurs relances, Facebook Suisse a indiqué qu'elle ne gérait pas la plateforme mais seulement le développement du marché publicitaire en Suisse. Par e-mail du 25 août 2015, Facebook Ireland Ltd (Facebook Irlande) a indiqué que l'ordre de production devait être adressé par la voie de l'entraide judiciaire internationale.
Le 11 novembre 2015, le Ministère public a adressé à Facebook Suisse ainsi qu'à ses associés gérants A. et B. une ordonnance de production de pièces portant sur les mêmes renseignements (...) avec un délai d'exécution au 25 novembre 2015. Facebook Suisse et les deux gérants (...) ont saisi la Chambre des recours pénale du Tribunal cantonal du canton de Vaud (...).
B. Statuant le 23 mars 2016 par un seul arrêt, la Chambre des recours pénale a rejeté les recours. Selon la jurisprudence cantonale, les filiales nationales (...) étaient habilitées à recevoir des injonctions des autorités (notamment en matière de protection des données) lorsqu'elles exerçaient une activité concrète dans le pays concerné (...). L'ordre de production pouvait être adressé à la société recourante et, à défaut, à ses gérants. (...)
C. Par trois recours distincts, Facebook Switzerland Sàrl, A. et B. (...) demandent la réforme de l'arrêt cantonal en ce sens que la décision du Ministère public du 11 novembre 2015 est annulée (...) sous suite de frais et dépens. (...)
Le Tribunal fédéral a admis les recours.
(extrait)
 
Extrait des considérants:
3. Invoquant l'art. 265 CPP, les recourants soutiennent que Facebook Suisse ne serait pas détenteur des informations requises. Ils exposent - invoquant sur ces points de fait l'art. 105 al. 2 LTF - que selon la déclaration Facebook (conditions générales), le service est fourni par Facebook Inc. (Etats-Unis) pour les utilisateurs résidant aux Etats-Unis ou au Canada, et par Facebook Irlande pour les autres utilisateurs. Aucun contrat ne serait conclu avec la société suisse, cette dernière n'étant filiale que de Facebook Global Holdings II LLC. La société suisse ne traiterait aucune donnée à caractère personnel relative aux utilisateurs; elle ne disposerait d'aucun centre de traitement de données ni de serveurs en Suisse. Elle n'a que trois employés dont les activités sont limitées à la gestion stratégique des relations clients, et qui n'ont pas accès aux données des utilisateurs. Il n'existerait enfin aucun rapport de représentation avec les sociétés irlandaise et américaine. En définitive, les règles de l'entraide judiciaire internationale seraient contournées.
Pour ce qui concerne en revanche la surveillance de la correspondance par poste et télécommunication, les art. 269 ss CPP prévoient des conditions spécifiques telles qu'une liste d'infractions autorisant le recours à cette mesure (art. 269 al. 2 CPP) et l'intervention du tribunal des mesures de contrainte (art. 272 al. 1 CPP). Le champ d'application de l'art. 269 CPP est défini à l'art. 1 de la loi fédérale du 6 octobre 2000 sur la surveillance de la correspondance par poste et télécommunication (LSCPT; RS 780.1). Celle-ci s'applique à tous les organismes étatiques, aux organismes soumis à concession ou à l'obligation d'annoncer qui fournissent des services postaux ou de télécommunication ainsi qu'aux fournisseurs d'accès à Internet. Selon la définition figurant à l'annexe de l'ordonnance du 31 octobre 2001 sur la surveillance de la correspondance par poste et télécommunication (OSCPT; RS 780.11), un fournisseur d'accès à Internet est un fournisseur de services de télécommunication ou le secteur d'un fournisseur de services de télécommunication qui offre une prestation publique de transmission d'informations sur la base de la technologie IP et d'adresses IP. Un simple fournisseur de services, par exemple de réseaux sociaux, ne rentre pas dans cette catégorie puisqu'il ne fournit pas lui-même d'accès à Internet au sens qui précède. C'est d'ailleurs pour remédier à cette lacune qu'une modification de la LSCPT a été proposée, élargissant notamment le champ d'application de la loi à raison des personnes. Comme le relève le Message à l'appui de cette modification (Message du 27 février 2013 concernant la loi fédérale sur la surveillance de la correspondance par poste et télécommunication, FF 2013 2379), la nouvelle teneur de la loi vise également les "fournisseurs de services de communication dérivés", qui ne constituent ni des fournisseurs d'accès, ni des fournisseurs de services de télécommunication, mais qui jouent un rôle dans le processus de correspondance par télécommunication, en particulier par Internet (FF 2013 2403-2404). Sont ainsi notamment visés à l'art. 2 let. c du projet de LSCPT les fournisseurs de services Internet qui permettent la communication unilatérale ou multilatérale, en particulier les services e-mail. Dans leur teneur actuelle, les art. 269 ss CPP ne s'appliquent donc pas à ce genre de services.
Compte tenu de cette lacune, le Procureur pouvait se fonder directement sur la disposition générale de l'art. 265 CPP pour édicter un ordre de production. Cela n'est du reste pas contesté par les recourants, de sorte qu'il reste à examiner si cette disposition a été appliquée correctement en l'espèce.
3.2 Destinée à accroître l'efficacité de la coopération internationale dans ce domaine, la Convention de Budapest du 23 novembre 2001 sur la cybercriminalité (RS 0.311.43; ci-après: CCC), entrée en vigueur pour la Suisse le 1er janvier 2012, consacre une notion de "fournisseur de services" plus large que le droit suisse actuel. L'expression désigne en effet "toute entité publique ou privée qui offre aux utilisateurs de ses services la possibilité de communiquer au moyen d'un service informatique ou toute autre entité traitant ou stockant des données informatiques pour ce service de communication ou ses utilisateurs". La convention n'en repose pas moins sur le principe de la territorialité, selon lequel un Etat n'est pas habilité à prendre des mesures d'instruction et de poursuite pénale sur le territoire d'un autre Etat (ATF 141 IV 108 consid. 5.3 p. 121 et les références citées). Pour ce faire, l'Etat demandeur doit agir par le biais de l'entraide internationale (art. 23 ss CCC) et dispose, en vertu de la convention, de divers instruments destinés à en faciliter l'exécution (conservation rapide de données informatiques stockées selon l'art. 29 CCC) voire à la contourner (accès transfrontière à des données stockées, avec consentement ou lorsqu'elles sont accessibles au public, selon l'art. 32 CCC; ATF 141 IV 108 consid. 4.3.8 ss p. 119).
Le Message relatif à la modification de la LSCPT relève à ce titre que la nouvelle définition du champ d'application ratione materie de la loi ne doit pas susciter des espoirs démesurés, "dès lors que beaucoup de fournisseurs importants de services Internet ont leur siège et leur infrastructure à l'étranger (...). Prévoir, de manière générale, que les autorités suisses pourraient sans problème accéder aux données voulues serait donc irréaliste et problématique, puisque cela heurterait le principe de la territorialité des lois" (FF 2013 2404).
3.3 Selon l'art. 18 CCC, chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour habiliter ses autorités compétentes à ordonner à une personne présente sur son territoire de communiquer les données informatiques spécifiées, en sa possession ou sous son contrôle, qui sont stockées dans un système informatique ou un support de données informatiques (al. 1 let. a) ou à un fournisseur de services offrant des prestations sur le territoire de la Partie, de communiquer les données en sa possession ou sous son contrôle relatives aux abonnés et concernant de tels services (let. b). Le lieu de stockage des données n'est à lui seul pas déterminant puisqu'il peut s'agir d'un emplacement aléatoire, impossible à définir a priori, et susceptible de changer rapidement, les centres de données étant très largement répartis géographiquement.
Il ressort des pièces du dossier que tel n'est pas le cas de la société recourante.
3.4.1 L'arrêt cantonal retient que la société a son siège à Vernier (GE) et que son but social est "la fourniture de tous services en relation avec le support marketing, la vente d'espaces publicitaires, les relations publiques et la communication". Son associé unique est la société Facebook Global II LLC, à Dover (USA). La cour cantonale s'est ensuite fondée sur les informations disponibles sur la plateforme (aide-mémoire sur la politique d'utilisation des données, leur utilisation ainsi que sur le ciblage des publicités). Elle considère que la société recourante traite des données personnelles à des fins de vente d'espaces publicitaires et qu'elle serait habilitée à ce titre à recevoir des injonctions de la part des autorités suisses dès lors qu'elle exerçait une activité concrète en Suisse. La jurisprudence sur laquelle se fonde la cour cantonale, notamment l' ATF 138 II 346, se rapporte à une cause de droit public relative à la protection des données: la société suisse impliquée était en lien direct avec l'activité concernant Google Street View (en particulier la production et le traitement des images, le traitement des demandes d'effacement), étant toutefois précisé que l'on ne pouvait retenir un rapport de représentation entre les sociétés suisse et américaine, raison pour laquelle les recommandations ont été adressées aux deux sociétés (consid. 4 non publié). Cette jurisprudence de droit public ne saurait s'appliquer en matière pénale lorsqu'une autorité de poursuite exige non pas la rectification de données personnelles traitées par la société elle-même, mais la production de preuves en application de l'art. 265 CPP. Dans ce contexte, la détention des preuves requises constitue l'élément déterminant.
3.4.2 Aucun des documents sur lesquels s'appuie la cour cantonale ne permet d'affirmer que la société recourante serait effectivement titulaire des données réclamées par le Ministère public. L'arrêt attaqué retient au contraire lui-même que la recourante n'est "peut-être pas titulaire des informations litigieuses de façon autonome". Cela est confirmé par les indications des recourants, qui se fondent sur différentes pièces figurant au dossier. Il en ressort que le service Facebook est contrôlé par des sociétés américaine et irlandaise totalement distinctes de la société recourante. Selon un affidavit d'une responsable de la protection des données de Facebook Irlande, cette dernière est seule partenaire contractuelle avec les utilisateurs de Facebook situés hors des Etats-Unis et du Canada; elle est également seule à contrôler les données personnelles de ces mêmes utilisateurs. Les "Conditions de services", également produites par les recourants, confirment cette déclaration, de même que le courriel adressé au Ministère public par Facebook Irlande elle-même, le 25 août 2015. Il apparaît ainsi que la société suisse ne dispose pas d'un accès direct ou d'une quelconque maîtrise sur les données relatives au service.
Ce dernier n'a dès lors d'autre choix que de s'adresser par voie d'entraide judiciaire aux autorités irlandaises pour obtenir les renseignements désirés (cf. consid. 3.2 ci-dessus; ATF 141 IV 108 consid. 5.3 p. 212). (...)