Quel est le pouvoir d’enquête des officiers de police judiciaire à l’égard des informations détenues par Google aux États-Unis ? La réponse vient de la Cour de cassation dans le cadre d’une affaire de trafic de produits dopants.
En 2011, le procureur de la République avait chargé la section de recherches de la gendarmerie de Grenoble, et les services spécialisés de la police, d’effectuer une enquête touchant à l’importation de produits dopants. Ces enquêteurs ont à ce titre réclamé à Google Inc., installée aux Etats Unis, des données notamment sur l’identification des titulaires d’adresses électroniques et les contenus d’une boite mail, histoire de blinder les preuves d’un potentiel trafic.
Le principal mis en cause, l’époux d’une grande championne de cyclisme, estimait cette phase-là illégale. Le code de procédure pénale indique en effet à son article 18 que « les officiers de police judiciaire ont compétence dans les limites territoriales où ils exercent leurs fonctions habituelles. ». Bref, selon lui, sans procédure internationale bien particulière, il n’était pas possible d’aller titiller outre-Atlantique Google et lui réclamer quelques indices numériques.
Google US est libre de ne pas y répondre
Dans un arrêt signalé par Légalis, la Cour de cassation a rejeté l’argument : si les OPJ ont une compétence territoriale bien arrêtée, « il ne leur est pas interdit de recueillir, notamment par un moyen de communication électronique, des renseignements en dehors de leur circonscription, fût-ce en adressant directement une demande à une personne domiciliée à l'étranger ». Toutefois, précise la haute juridiction, Google est dans ce cas « libre de ne pas y répondre ». En somme, c’est une possibilité pour les OPJ, et Google peut l’ignorer.
Dans ce dossier, lors de la perquisition au domicile des époux, la gendarmerie avait trouvé dans un sac de sport un document comportant la mention pharmacyescrow.com, ainsi que des codes chiffrés. Avec ces codes, les enquêteurs avaient ensuite poussé l’investigation sur ce site américain. Là encore la Cour de cassation a validé la démarche puisque l'article 32 de la Convention sur la cybercriminalité du 23 novembre 2001, signée, notamment, par la France et les États-Unis d'Amérique, permet à une partie d’accéder librement « à des données informatiques stockées accessibles au public quelle que soit la localisation géographique de ces données. »
Google n’a pas été la seule société contactée. D'autres réquisitions ont été adressées à Orange/France Télécom ou encore Microsoft afin d’identifier les titulaires d'adresses électroniques, IP ou d'abonnements téléphoniques. Monex, qui gère les comptes bancaires de paiement en ligne Boursorama, avait été également tenu de fournir des informations sur les comptes du couple et les différentes opérations faites à partir de ceux-ci.
Commentaires (22)
Est-ce que google a “collaboré” ?
Le principal mis en cause, l’époux d’une grande championne de cyclisme, estimait cette phase-là illégale
On se demande bien qui
Sinon, si j’ai bien compris, la police peut deander l’aide de tout intermédiaire sur le net, mais ne peut en rien “obliger” si le siège n’est pas en France
Mais vu que la France collabore (le mot leur va bien) avec la NSA, et que la NSA a open bar chez Google, par un échange de bon procédés, ils ne devraient pas avoir trop de mal à obtenir des renseignements cachés dans les archives de Google …
" />
Donc si la Belgique reçoit une demande de la France pour identifier une ip, le FAI belge est libre de refuser ?
Je demande ça parce que ça arrive fréquemment.
Google n’a pas été la seule société contactée. D’autres réquisitions ont été adressées à Orange/France Télécom ou encore Microsoft afin d’identifier les titulaires d’adresses électroniques, IP ou d’abonnements téléphoniques. Monex, qui gère les comptes bancaires de paiement en ligne Boursorama, avait été également tenu de fournir des informations sur les comptes du couple et les différentes opérations faites à partir de ceux-ci.
Et quid de leur réponses à ceux-là?
J’imagine que les français ont été contrains par la loi de répondre favorablement à la requête.
Mais si monsieur le juge, c’est possible à 50ans de rouler plus vite que des gamines de 20ans
" />
Google a donc fourni à la police des données sans y être obligé. Par contre pour payer les impôts c’est une autre histoire.
On voit où sont leurs priorités.
Don’t be evil, my ass!
Encore une histoire de dopage a l’insu de son plein gré ?
" />
" />
Je veux le nom de la championne !!
Précision sur le terme “commission rogatoire” :
C’est un juge qui délègue son pouvoir de mener l’enquête à la police, ça existe donc encore non seulement en droit international, mais aussi en droit interne (en droit international le juge délègue à l’un de ses homologues et non pas directement à la police).
Un flic ou même un juge qui demande des infos à l’étranger sans passer par la coopération internationale n’a aucun moyen coercitif d’obtenir l’info demandée, donc oui c’est au bon vouloir de la personne saisie.
Souvent, ne pas accepter de donner l’info est une perte de temps puisque dans le cadre de la coopération internationale le juge requis va faire ce que le juge requérant lui demande sans rien ajouter ni retrancher (sauf si il y a violation de l’ordre public).
Tout ça me rappelle une news publiée il y a quelques jours dans le cadre de laquelle Microsoft refusait de livrer des infos détenues à l’étranger demandées par un juge américain.
Le juge américain ne respectait pas la possibilité pour Microsoft de refuser de donner les infos tant que le juge ne passait pas par une procédure de coopération.
Pour le coup, c’était franchement scandaleux, notamment parce que cela empêche un contrôle des autorités nationales qui permet d’éviter les violations de leur ordre public (question loin d’être anecdotique quand on sait que dans certains pays, le secret bancaire est d’ordre public, on comprend que certains juges s’énervent un peu de temps à autre).
Cette décision fait donc un bon rappel dans le contexte actuel.
Plus que de déterminer les pouvoirs de l’OPJ (dont l’investigation sur le site US se déroule à la suite d’une perquisition autorisée par le JLD tout même) qui ne sont en rien modifiés, c’est l’affirmation qui consiste à dire “rien ne prouve que les données sont stockées aux USA donc on peut se passer d’une demande de coopération” qui est pour le moins curieuse.
" />
C’est l’expression la plus parfaite de la jurisprudence à géométrie variable s’agissant du stockage et du traitement des données.
Dès qu’il s’agit de vie privée ou plus largement d’appliquer la LIL sur un site dont on sait par habitude que ses données sont à l’étranger mais dont par définition on en a pas la preuve à moins d’en demander la confirmation au site, la réponse est claire: ah non ma bonne Madame ah non mon bon Monsieur on ne peut rien faire puisque même si on en a pas la preuve formelle, les données sont vraisemblablement stockées et traitées à l’étranger.
En revanche et en l’espèce, puisqu’on en a pas la preuve, on va partir du principe que les données ne sont pas stockées à l’étranger et donc poursuivre les investigations comme si de rien n’était… (moyen n°6).
Il est indiqué qu’aucune des pièces ne permettait de connaître où sont stockées effectivement les données, pourtant une simple analyse de l’IP du serveur aurait pu sans mal démontrer qu’il n’était certainement pas sur le territoire national.
Autant le reste n’est pas critiquable, l’OPJ peut parfaitement solliciter des informations sur la base d’une procédure dépourvue sans le moindre pouvoir de contrainte avec le risque évident qu’il soit ignoré, autant la réponse au moyen n°6 est un rattrapage aux branches pour éviter la chute et est même franchement critiquable.
Les voies de “l’apparence du lieu du stockage des données” sont impénétrables …