Les données clients remises aux autorités américaines : un contournement de l’entraide pénale ?
ATF 148 IV 66 | TF, 01.11.2021, 6B_216/2020*
L’art. 271 al. 1 ch. 1 CP (actes exécutés sans droit pour un État étranger) trouve application lorsqu’une personne remet à une autorité étrangère des données non librement accessibles, alors que la remise de ces données devait avoir lieu par la voie de l’entraide ou de l’assistance internationale.
Droit
Dans le cadre du conflit fiscal entre la Suisse et les États-Unis, une société suisse de gestion de fortune constate qu’un certain nombre de ses clients ne sont pas déclarés auprès du fisc américain. Le président du conseil d’administration de la société se dénonce auprès du Department of Justice américain (DoJ) en vue d’un Non-Prosecution Agreement. Cette autorité refuse de déposer une demande d’assistance administrative ou judiciaire afin d’obtenir les dossiers des clients non déclarés.
Le président du conseil d’administration de la société se rend alors aux États-Unis. Il transmet une clé USB qui contient les noms de 109 clients au DoJ, sans avoir préalablement obtenu une autorisation au sens de l’art. 271 ch. 1 CP.
La FINMA dénonce l’administrateur au Ministère public de la Confédération (MPC). L’autorité pénale ouvre une procédure à son encontre pour violation de l’art. 271 CP. Elle le condamne à 160 jours-amende à CHF 1’650 par ordonnance pénale, contre laquelle le prévenu forme opposition.
Le Tribunal pénal fédéral acquitte le prévenu puisque ce dernier n’aurait pas reconnu, au moins dans le sens d’un dol éventuel, avoir commis un acte illégal pour un État étranger (arrêt du TPF SK.2017.64, résumé in : LawInside.ch/646). Saisi par le MPC, le Tribunal fédéral considère que l’administrateur n’était pas dans une situation d’erreur sur l’illicéité au sens de l’art. 21 CP, puisque celle-ci était évitable (6B_804/2018, résumé in : LawInside.ch/693).
Sur renvoi, la Cour des affaires pénales, puis la Cour d’appel du Tribunal pénal fédéral condamnent le prévenu à une amende de CHF 10’000 (CA.2019.6).
L’administrateur saisit le Tribunal fédéral qui est amené à préciser la portée de l’art. 271 CP.
Droit
L’art. 271 al. 1 ch. 1 CP prévoit que celui qui, sans y être autorisé, aura procédé sur le territoire suisse pour un État étranger à des actes qui relèvent des pouvoirs publics sera puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire et, dans les cas graves, d’une peine privative de liberté d’un an au moins.
Cette disposition vise à empêcher l’exercice de la puissance étatique étrangère sur le territoire suisse et à protéger le monopole de la puissance étatique et la souveraineté suisse. Afin de déterminer si l’art. 271 CP s’applique, ce n’est pas l’auteur de l’acte qui est déterminant, mais bien son caractère officiel.
En l’espèce, il est admis que la remise des dossiers au DoJ a été effectuée en faveur des États-Unis. Le prévenu conteste néanmoins que cet acte revêt un caractère officiel.
Le Tribunal fédéral relève que la doctrine semble unanime : un acte qui viole ou contourne le droit suisse ou international de l’assistance administrative ou de l’entraide judiciaire, respectivement qui relève de la compétence d’une autorité ou d’un fonctionnaire suisse en vertu du droit de l’assistance administrative ou de l’entraide judiciaire, porte atteinte au bien juridique protégé par l’art. 271 al. 1 CP.
Cela étant, la doctrine se demande si et dans quelle mesure la collecte de documents en vue d’une procédure à l’étranger et leur dépôt ultérieur peuvent être punissables. Selon le Tribunal fédéral, il convient de déterminer si la remise d’informations concerne des documents qui, en Suisse, ne peuvent être remis légalement que sur ordre de la puissance publique. Ainsi, si l’auteur dispose librement d’informations (frei verfügt werden kann), en particulier des informations qui sont accessibles publiquement, il peut les transférer à l’étranger sans autorisation préalable.
En l’espèce, les données clients avaient été confiées à la société de gestion de fortune, laquelle ne pouvait pas en disposer librement. L’administrateur a ainsi contourné l’assistance administrative et l’entraide judiciaire en remettant directement les données au DoJ. Il a ainsi accompli, pour un État étranger, un acte réservé aux autorités suisses.
Dans un dernier temps, le Tribunal fédéral examine si le fait que certaines données étaient aussi conservées à l’étranger modifie son raisonnement.
L’administrateur se prévaut de l’opinion de Rosenthal. Selon cet auteur, la collecte de preuves se trouvant en Suisse n’a en réalité pas lieu en Suisse lorsque ces moyens de preuve ou leur contenu sont de toute façon disponibles à l’étranger et qu’il est donc possible de les obtenir dans le cadre de la récolte des preuves à l’étranger.
Le Tribunal fédéral souligne que l’hypothèse de Rosenthal se distingue à deux égards du cas d’espèce. Premièrement, il ne s’agit en l’occurrence pas d’une collecte de preuves, mais d’une remise directe de données à une autorité d’un État étranger. Deuxièmement, les données n’ont pas été acquises à l’étranger, mais elles ont été apportées de la Suisse vers l’étranger.
Partant, le Tribunal fédéral rejette le recours.
Note
Cet arrêt est bienvenu, car il précise le champ d’application de l’art. 271 al. 1 CP. Cela étant, même si le Tribunal fédéral mentionne l’opinion de Rosenthal, il n’indique pas si celle-ci est convaincante. L’hypothèse susmentionnée de cet auteur trouve en particulier application lorsqu’une société étrangère (ou un groupe de sociétés) a un accès virtuel à des données qui sont stockées en Suisse. Dans cette situation, les données se trouveraient déjà à l’étranger (Rosenthal David/Jöhri Yvonne, Art. 271 StGB N 35, Handkommentar zum Datenschutzgesetz, Genève/Zurich/Bâle 2008).
Mais que faut-il entendre par « étranger » ? Uniquement l’État qui a reçu les données (en l’espèce les États-Unis) ? Ou n’importe quel État, hormis la Suisse ?
La question a son importance dans la situation où une société avec siège au sein de l’Union européenne téléchargerait des données auxquelles elle a accès sur un serveur situé en Suisse, avant de les remettre aux États-Unis (cf. ég. art. 4 CP). Cette problématique pourrait ne pas rester théorique. En effet, le US CLOUD Act permet aux autorités américaines d’exiger la remise de données se situant en dehors du sol américain (cf. swissprivacy.law/101/). Enfin, relevons que si l’État étranger devait utiliser la voie de l’entraide pénale afin d’avoir accès à des données stockées sur des serveurs en Suisse, la possibilité du détenteur des données de s’y opposer est particulièrement limitée (cf. swissprivacy.law/58/).
Cf. ég. le commentaire de Katia Villard, Transmission de données clients aux États-Unis : Condamnation d’un gérant de fortune, publié le : 26 novembre 2021 par le Centre de droit bancaire et financier, https://cdbf.ch/1211/.
Proposition de citation : Célian Hirsch, Les données clients remises aux autorités américaines : un contournement de l’entraide pénale ?, in: https://lawinside.ch/1126/