Une décision par laquelle l’autorité d’instruction ordonne de produire des pièces est une décision incidente, qui ne peut faire l’objet d’un recours au TF que si elle peut causer un préjudice irréparable. Tel est le cas lorsque l’ordre de production est assorti de la menace des peines prévues à l’art. 292 CP (c. 1.1). Le droit d’être entendu implique notamment l’obligation pour l’autorité de motiver sa décision. Il suffit que le juge mentionne, au moins brièvement, ses motifs. Il peut se limiter à l’examen des questions décisives pour l’issue du litige. En l’espèce, l’autorité n’a pas commis de déni de justice formel (c. 2.1 et 2.2). Le champ d’application de l’art. 269 CPP (surveillance de la correspondance par poste et télécommunication) est défini à l’art. 1 de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT, RS 780.1). Un simple fournisseur de messagerie électronique n’est pas un fournisseur d’accès à internet au sens de cette disposition. Dans leur teneur actuelle, les art. 269 ss CPP ne s’appliquent donc pas à ce genre de services. En revanche, en cas d’infractions au droit d’auteur commises au moyen d’un compte de messagerie électronique Gmail, les autorités de poursuite pénale peuvent se fonder sur l’art. 265 CPP (obligation de dépôt) pour ordonner la production de l’identité du détenteur du compte, les adresses IP utilisées pour créer ce compte, les logs de connexions et les adresses IP en relation avec ces logs (c. 3.1). La Convention de Budapest sur la cybercriminalité (CCC, RS 0.311.43) repose sur le principe de la territorialité : un Etat n’est pas habilité à prendre des mesures d’instruction et de poursuite pénale sur le territoire d’un autre Etat. Pour ce faire, l’Etat demandeur doit agir par le biais de l’entraide internationale (c. 3.2). Selon l’art. 18 CCC, chaque Etat partie doit habiliter ses autorités à ordonner à une personne présente sur son territoire de communiquer les données informatiques en sa possession ou sous son contrôle. Le lieu de stockage de ces données n’est à lui seul pas déterminant (c. 3.3). En l’espèce, la filiale suisse de Google conteste intervenir, à un titre ou à un autre, lors de l’ouverture ou de l’exploitation d’un compte Gmail, le système de messagerie étant du seul ressort de la société américaine. De plus, le pouvoir de représentation de cette dernière par la société suisse peut être reconnu dans d’autres matières du droit comme la protection des données (cf. ATF 138 II 346), mais non dans le cadre d’une procédure pénale nécessitant l’accès aux données de la messagerie (c. 3.5). Il n’est donc pas démontré que la société suisse ait un accès aux données litigieuses ou une maîtrise sur celle-ci. Or il découle tant de l’art. 18 CCC que de l’art. 265 CPP que la personne visée par l’injonction doit être le possesseur ou le détenteur des données visées, ou tout au moins en avoir le contrôle. La cause doit donc être renvoyée à la cour cantonale pour complément d’instruction sur ce point. S’il devait s’avérer que la société suisse ne peut effectivement pas, en fait et en droit, disposer des données litigieuses, l’autorité n’aurait pas d’autre choix que de recourir à l’entraide judiciaire internationale (c. 3.6). [VS]