Guide pour les requêtes des autorités

Afin de protéger les droits légaux (par ex. protection des données) et contractuels (par ex. obligation de secrets) des clients, les hébergeurs ne communiquent les informations ou les contenus des clients que sur demande écrite. Pour les requêtes informelles (par ex. simples requêtes de police, oralement/par e-mail), ils exigent une décision écrite et signée de l’autorité responsable. Est considérée comme «décision» tout ordre d’une autorité dans un cas particulier qui est fondé sur le droit public de la Confédération, du canton ou de la commune et qui, par exemple, justifie, modifie ou annule des droits ou des obligations (par ex. ordonnance de production de pièces du ministère public, décision d’un tribunal suisse). Dans ce contexte, c’est le contenu du courrier qui est important, et non son intitulé. Dans le cas de simples requêtes policières ou verbales de mise à disposition d’informations ou de contenus concernant les clients, le fournisseur exige une décision correspondante du ministère public. Les coûts de la décision ne doivent pas être imputés au fournisseur. En revanche, des frais peuvent être encourus dans le cadre de la procédure de recours.

L’ordre doit identifier l’autorité requérante et la base juridique sur laquelle l’autorité se fonde. On entend par «autorité» toute institution domiciliée en Suisse qui accomplit une tâche de droit public de la Confédération, des cantons ou des communes qui lui a été confiée et qui est dotée d’une compétence de décision correspondante (par ex. ministères publics, tribunaux, administration des douanes, administrations fiscales, etc.) La compétence en matière de traitement des requêtes des autorités peut résulter d’un grand nombre de décrets. Il n’incombe généralement pas au à l’hébergeur de vérifier la compétence de décision de l’autorité.

En fonction de l’obligation légale de secret, des règles restrictives s’appliquent aux autorités compétentes, par ex. dans le domaine du secret des télécommunications ou en cas de requêtes provenant de l’étranger: Si la demande concerne des informations couvertes par le secret des télécommunications (art. 43 LTC en liaison avec art. 321^ter CP), la requête doit être effectuée par l’intermédiaire du Service de surveillance de la correspondance par poste et télécommunication (service SCPT) (art. 26 al. 2 OSCPT). Si le fournisseur a des doutes quant au fait que la demande concerne le secret des télécommunications, le service SCPT se chargera de fournir des renseignements. 

Afin de ne pas s’exposer au risque de poursuites pénales pour transmission illicite de renseignements (art. 271 CP), l’hébergeur ne donne pas suite aux demandes directes provenant de l’étranger et renvoie le demandeur à l’entraide administrative ou judiciaire internationale. L’autorité étrangère doit faire appel à l’assistance d’une autorité suisse. Cette dernière peut demander qu’une décision écrite soit rendue à l’encontre du fournisseur suisse. Dans des cas exceptionnels, les autorités étrangères peuvent adresser des requêtes directement aux hébergeurs suisses (sur la base de l’art. 32 let. b de la Convention sur la cybercriminalité). Toutefois, la mise à disposition directe de données d’inventaire et de données secondaires à l’étranger ne peut pas être imposée juridiquement en dehors de l’entraide administrative ou judiciaire internationale. Une mise à disposition directe volontaire n’est autorisée que si l’hébergeur y est habilité par le client sur la base d’une autorisation contractuelle. 

Les requêtes des autorités doivent décrire clairement les mesures requises de l’hébergeur et doivent être proportionnées, c’est-à-dire concrètement limitées (par ex. renseignements concernant des questions concrètes, mise à disposition et divulgation d’informations ou de données concernant des données spécifiques du détenteur ou des contenus spécifiques ainsi qu’en relation avec certains clients, noms de domaine, contenus clairement définis, périodes, etc.) Ce n’est pas aux fournisseurs de sélectionner les données concernées par une requête. La requête doit être formulée de manière suffisamment précise pour que le fournisseur puisse extraire les informations concernées sans ambiguïté et sans devoir faire sa propre sélection. Les fournisseurs demandent des précisions à l’autorité requérante si la formulation est ambiguë. Les fournisseurs n’ont pas à interpréter eux-mêmes les requêtes ambiguës. Dans le cas contraire, les hébergeurs courent le risque de devenir responsables des dommages causés à leurs clients ou aux tiers concernés.

Les hébergeurs, comme les bureaux d’enregistrement, les fournisseurs de services de protection de la vie privée et les autres fournisseurs de services Internet, ne sont que des prestataires de services techniques pour leurs clients. Ils ne sont pas responsables des contenus de leurs clients (par ex. sites Internet, enregistrements de noms de domaine) en vertu du droit civil ou pénal, à moins qu’ils ne participent activement aux actions incriminées de leurs clients. Les données des détenteurs de noms de domaine et les données des exploitants de sites Internet sont en partie accessibles au public (par ex. Whois, mentions légales). Les hébergeurs informent les autorités requérantes sur leur rôle en tant que fournisseurs de services et, le cas échéant, les orientent vers des sources d’information accessibles au public sur les données de leurs clients.

Si les hébergeurs sont tenus de fournir des contenus ou des données, ils conviennent avec l’autorité ou la juridiction requérante des modalités techniques d’un transfert de données approprié et adapté aux circonstances, c’est-à-dire sécurisé. Ce faisant, les fournisseurs tiennent compte de l’état actuel de la technique, du caractère sensible et de l’étendue des données. Les informations librement accessibles à partir d’autres sources publiques (par ex. données de détenteurs dans Whois, mentions légales) peuvent être envoyées aux représentants des autorités par e-mail, à condition que la requête écrite réponde aux exigences du présent guide. Les contenus des clients qui ne sont pas accessibles au public doivent être cryptés et mis à disposition via un accès protégé. 

Des procédures normalisées conformes à la LSCPT et les instructions spécifiques du service SCPT s’appliquent à la fourn

Si l’autorité requérante impose une interdiction de communiquer, l’hébergeur n’informe pas le client de la demande des autorités ni des mesures prises (interdiction de fuiter des données). Toute modification de la relation avec le client susceptible d’indiquer la mesure des autorités doit être évitée. Il appartient à l’autorité requérante de délivrer une interdiction de communiquer écrite en conséquence. Malgré l’interdiction de communiquer, il est possible que le client concerné remarque des accès/modifications de son profil et puisse conclure de lui-même que des mesures correspondantes ont été prises. 

En l’absence d’autres instructions des autorités concernées, les dispositions contractuelles entre l’hébergeur et le client restent inchangées. Les commandes des clients doivent continuer à être exécutées. Si l’hébergeur soupçonne des activités ou des contenus illicites du client, il peut (temporairement), à sa propre discrétion, suspendre ses propres services ou bloquer les contenus du client, à condition qu’il soit autorisé à le faire en vertu de ses propres dispositions contractuelles (par ex. conditions générales de vente, «CGV»). Tout ordre des autorités concernant des ordonnances de production de pièces (par ex. blocage de sous-pages, blocage de l’accès aux comptes clients) doit se conformer aux principes de ce guide. En cas d’interdiction de communiquer, le prestataire doit consulter au préalable l’autorité qui a ordonné la mesure s’il souhaite mettre fin à la relation avec le client.

Les coûts s’orientent sur les bases juridiques respectives de la requête de l’autorité. Pour les mesures complexes, l’hébergeur discutera si possible à l’avance et de manière proactive de la réglementation des coûts avec l’autorité. Le fournisseur documente les coûts à prévoir ou déjà encourus. Le fournisseur ne peut pas facturer les coûts dans tous les cas.