Dans un arrêt qui vient d’être publié (1B_185/2016), le Tribunal fédéral a décidé que le Ministère public vaudois ne peut contraindre Facebook Switzerland Sàrl (Facebook Suisse) à produire les données d’un compte Facebook ouvert vraisemblablement depuis la Suisse. Pour la Haute Cour, Facebook Suisse n’est pas titulaire des données en question et n’en a pas non plus le contrôle. Pour y avoir accès, il y a lieu d’agir par voie de l’entraide judiciaire auprès de Facebook Ireland Ltd (Facebook Irlande).

Une demande classique
Suite à la plainte d’un journaliste belge traité d’antisémite sur un compte Facebook ouvert vraisemblablement en Suisse sous un pseudonyme, le Ministère public du canton de Vaud a ouvert une instruction pénale contre inconnu pour atteinte à l’honneur. Il a exigé de Facebook Suisse et de ses deux associés gérants la production de l’identité du détenteur du compte, de ses données d’accès et son adresse IP.

Un service fourni par Facebook Irlande
Le Tribunal a retenu qu’aucun des documents ne permettait de conclure que Facebook Suisse soit titulaire des données d’utilisateur réclamées, ou qu’elle ait un accès direct à ces données. Comme l’indique le site web du réseau social, le service est fourni par Facebook Inc. (Etats-Unis) pour les utilisateurs résidant aux Etats-Unis ou au Canada, et par Facebook Irlande pour les autres utilisateurs. Il n’y a pas de contrat entre la société suisse (qui n’est que la filiale de Facebook Global Holdings II LLC) et la société Facebook Irlande. L’activité de Facebook Suisse se limite au support marketing, à la vente d’espaces publicitaires, aux relations publiques et à la communication. Facebook Suisse ne représente pas non plus la société irlandaise.

En suivant ce raisonnement, il est logique que le Tribunal arrive à la conclusion que seule l’entité irlandaise doive répondre à la demande du Ministère public et qu’il faille lui adresser aux autorités irlandaises une demande d’entraide judiciaire pénale.

Un raisonnement différent en matière de protection des données
La Cour de justice de l’Union Européenne (CJUE) a tenu un raisonnement différent dans l’arrêt Costeja González. La CJUE a en effet jugé que même si le moteur de recherche était exploité par la société-mère du groupe Google Inc. (USA), la filiale espagnole était en charge de la promotion des ventes d’espaces publicitaires générés sur le site web et a désigné auprès de l’autorité locale de protection des données comme responsable du traitement de fichiers enregistrés par Google Inc. Pour la CJUE, le traitement de données est fait pour les besoins du moteur de recherche exploité par une entreprise ayant son siège dans un État tiers mais disposant d’un établissement dans un État membre. Il est donc effectué dans le cadre des activités de cet établissement si celui-ci est destiné à assurer, dans cet État membre, la promotion et la vente des espaces publicitaires proposés par le moteur de recherche. Les activités de l’exploitant du moteur de recherche et celles de son établissement ont donc été considérées comme indissociablement liées. Un raisonnement similaire avait été tenu par le Tribunal fédéral dans l’affaire Google Street View et l’entité suisse avait été considérée comme étant impliquée dans le traitement des données.

Commentaire
Cette décision se rapproche de la décision américaine de la Cour d’Appel du 2e Circuit qui a conclu que le mandat accordé par un juge américain ne permettait pas d’obliger Microsoft Corporation (société américaine) à produire les données d’un de ses clients hébergées en Europe.

La situation est également différente entre Google Spain, représentant de Google Inc. en Espagne, et les deux sociétés Facebook qui n’ont pas de relation contractuelle directe. Il n’y avait apparemment pas non plus d’indice que Facebook Suisse participe au traitement des données ou pouvait accéder aux données demandées. Pour contraindre Facebook Suisse, il aurait fallu que les juges considèrent que les différentes sociétés du groupe Facebook sont un tout et que leur séparation est artificielle et constitue un abus de droit.

Une autre possibilité aurait été de retenir qu’un réseau social est un fournisseur de services de télécommunications. Le Tribunal a seulement exclu qu’il puisse s’agir d’un fournisseur d’accès. Au lieu d’utiliser un ordre de production similaire à un séquestre, le ministère public aurait pu faire une demande d’identification basée sur la surveillance des télécommunications. La notion de fournisseur de services de télécommunications n’est actuellement pas très claire. La nouvelle Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) qui va entrer en vigueur prochainement introduit la notion de fournisseurs de services de communication dérivés, soit les fournisseurs de services qui se fondent sur des services de télécommunication, et qui pourraient être contraints de fournir certaines informations. L’Office fédéral de la communication (OFCOM) a une vision large de la notion de fournisseurs de services de télécommunication. L’avant-projet de révision de la LTC ne modifie pas cette notion et comprend les fournisseurs dits OTT (« over the top », à rapprocher de la notion de fournisseurs de services de communication dérivés de la nouvelle LSCPT).

Une troisième possibilité, probablement la plus raisonnable, serait d’adapter le cadre légal. Tout fournisseur de services en Suisse d’une certaine importance sera obligé de désigner un représentant en Suisse. Cette approche modérée, semblable à ce que prévoit le futur Règlement Général sur la Protection des Données (RGPD) en matière de traitement des données, permettrait aux autorités comme aux individus d’avoir un interlocuteur proche. Une telle obligation est en outre bien moins contraignante que l’obligation de traiter les données dans le pays (comme c’est le cas en Russie par exemple).

Voir également la décision concernant Google rendue le même jour