Numérique

Conservation des données de connexion et lutte contre les abus de marché : la fin de l’abondance

Par Jean-Marie Brigant, le 4 octobre 2022 à 09:20

Par Jean-Marie Brigant – Maître de conférences en droit privé – Le Mans Université – Membre du THEMIS-UM
La conservation généralisée et indifférenciée des données de trafic pendant un an à compter du jour de l’enregistrement, à titre préventif, aux fins de lutte contre les infractions d’abus de marché, dont font partie les opérations d’initiés, est contraire au droit de l’Union. Telle est la solution posée par la Cour de Justice de l’Union européenne (CJUE) dans son arrêt rendu le 20 septembre 2022. Si la décision était attendue, elle étonne peu par son contenu qui s’inscrit dans le sillage de la jurisprudence « La Quadrature du Net » du 6 octobre 2020. En revanche, ce nouvel épisode dans la Saga de l’utilisation des données de connexion dans la lutte contre la criminalité (voir Article sur notre Blog) confirme que les enquêteurs de l’AMF doivent opérer de manière plus ciblée pour obtenir les fameuses fadettes (qui désignent les relevés détaillés des communications). D’une certaine manière, cet arrêt symbolise la fin de l’abondance des données de connexion et le début de la sobriété des investigations.

Quelle était la question posée par la Cour de cassation à la CJUE ?

La question posée par la Cour de cassation à la CJUE a pour cadre des procédures pénales engagées contre deux personnes mises en examen des chefs de délits d’initié, sur la base de données à caractère personnel issues d’appels téléphoniques que les enquêteurs de l’Autorité des marchés financiers (AMF) avaient recueillies sur le fondement des articles L. 621-10 du CMF et L.34-1 du CPCE, auprès d’opérateurs de télécommunication. Selon les mis en cause, ces dispositions, à l’origine de la collecte des données de trafic, n’étaient pas conformes au droit de l’Union (conservation généralisée et indifférenciée des données, absence de limite au droit de communication des enquêteurs).

La Cour de cassation, par décisions du 1^er avril 2020 (n°19-82.223 et 19-80.900), a demandé à titre préjudiciel à la CJUE si, en substance, les textes relatifs aux abus de marché (directive n° 2003/6/CE du 28 janvier 2003 et règlement UE n° 596/2014 du 16 avril 2014), combinés avec ceux protégeant le droit à la vie privée, en l’occurrence la directive n° 2002/58/CE du 12 juillet 2002 et la charte des droits fondamentaux de l’Union européenne, s’opposent à des dispositions légales prévoyant à titre préventif aux fins de lutte contre les infractions d’abus de marché, dont font partie les opérations d’initiés, une conservation généralisée et indifférenciée des données de trafic pendant un an à compter du jour de l’enregistrement ?

La question portait donc sur l’articulation (voire la contradiction) au sein des normes européennes : d’un côté, une jurisprudence européenne de plus en plus exigeante en matière de protection de la vie privée, conduisant à une « sacralisation des données personnelles » (CJUE, 8 avril 2014, Digitals Rights Ireland, C-293/12 ; CJUE, 21 déc. 2016, Tele2 Sverige & Watson, C-203/15 ; CJUE, 2 mars 2021, Prokuratuur, C-746-18, ; CJUE, 5 avril 2022, The Commissioner, C-140/20) et de l’autre côté, une UE soucieuse de lutter contre les abus de marché qui « nuisent à l’intégrité des marchés financiers et ébranlent la confiance du public dans les valeurs mobilières » (règlement n° 596/2014, consid. 2).

Chaque Etat-membre est ainsi doté d’une autorité administrative compétente et disposant de tous les pouvoirs de surveillance et d’enquête nécessaires à l’exercice de ses fonctions, dont celui d’avoir accès à tout document ou donnée et de se faire remettre les enregistrements existants de données relatives au trafic détenus par un opérateur de télécommunications. Or, ces données « constituent une preuve essentielle, et parfois la seule permettant de détecter et de démontrer l’existence d’une opération d’initié ou d’une manipulation de marché » (règlement n° 596/2014, consid. 65) qui sont des pratiques par essence orales et secrètes. Leur accès et conservation seraient donc indispensables pour assurer l’efficacité des investigations et garantir l’intégrité des marchés financiers.

Quelle réponse a été apportée par la CJUE et quelle est l’incidence sur les procédures en cours s’appuyant sur des données téléphoniques pour prouver un délit d’initié ?

Pour conclure à l’interdiction de stockage pour lutter, à titre préventif, contre les abus de marché, la CJUE a tenu à clarifier le sens des dispositions relatives au pouvoir de l’autorité compétente en matière financière (ici, l’AMF) qui se bornent à encadrer le pouvoir de l’AMF à accéder à ces données. En clair, les textes relatifs aux abus de marché ne sauraient constituer le fondement juridique d’une obligation générale de conservation des enregistrements de données relatives au trafic détenus par les opérateurs de communications électroniques en matière financière. La directive « vie privée et communication électronique » demeure « la norme de référence » pour de conservation de données.

La législation nationale française étant non conforme au droit de l’Union, se posait alors deux autres questions : celle de son maintien provisoire aux fins d’éviter toute insécurité juridique et celle de l’impact sur les procédures en cours. S’appuyant sur le principe de primauté du droit de l’Union (§102), La Cour (ré)affirme que le juge pénal ne peut donc maintenir les effets de l’article L. 621-10 du CMF, dans sa version applicable à l’époque. Cette disposition déclarée inconstitutionnelle (Cons. Const., 21 juillet 2017, n° 2017-646/647QPC) avait d’ailleurs bénéficié d’un report d’abrogation afin d’éviter conséquences manifestement excessives. Un tel report est exclu par la CJUE.

Concernant l’incidence sur la recevabilité des preuves soulevées contre les deux mis en examen pour délits d’initiés, la Cour rappelle qu’il incombe au juge pénal national d’écarter des informations et des éléments de preuve qui ont été obtenus au moyen d’une conservation généralisée et indifférenciée des données relatives au trafic et de localisation incompatible avec le droit de l’Union, dans le cadre d’une procédure pénale contre des personnes soupçonnées d’actes de criminalité.

La Cour pose une condition : ces personnes ne doivent pas avoir été en mesure de commenter efficacement ces informations et éléments de preuve, provenant d’un domaine échappant à la connaissance des juges et qui ont été susceptibles d’influencer de manière prépondérante l’appréciation des faits. C’est en l’absence de « débat contradictoire efficace » que le juge pénal pourra écarter ces données de trafic incriminantes, à moins que le juge pénal ne s’en remette à la loyauté de la preuve pour écarter ces éléments recueillis de façon illicite par les enquêteurs ?

Quelle est la portée de la solution retenue par la CJUE, notamment en ce qui concerne les moyens d’enquête autorisés de l’AMF ?

A priori, la portée de cet arrêt paraît réduite puisque la disposition applicable à l’époque des faits a été abrogée par le Conseil constitutionnel le 21 juillet 2017. L’article L. 621-10 du CMF accordant aux enquêteurs et contrôleurs de l’AMF un droit de communication des données de connexion a été déclaré contraire à la Constitution en raison de l’absence de garanties suffisantes pour assurer une conciliation équilibrée entre le droit au respect de la vie privée et les objectifs à valeur constitutionnelle de sauvegarde de l’ordre public et de recherche des auteurs d’infractions. Depuis, la loi du 23 octobre 2018 a rétabli ce droit de communication en l’entourant de garanties dont l’autorisation préalable d’un contrôleur des demandes des données de connexion (conseiller d’Etat/magistrat de la Cour de cassation).

L’article L. 34-1 du CPCE auquel renvoie l’article L. 621-10 CMF a connu le même sort puisqu’il a été déclaré inconstitutionnel par une décision du 25 février 2022 (n° 2021-976/977 QPC) et entretemps réformé par la loi n° 2021-998 du 31 juillet 2021. L’arrêt du 20 septembre apparaît donc comme une décision de principe aux effets limités.

Toutefois, cette décision atteste que la protection de la vie privée des justiciables en sort renforcée, la pratique des investigations pour l’AMF apparaissant beaucoup plus contrainte. Si la conservation généralisée et indifférenciée des données de connexion est possible aux fins de sauvegarde de la sécurité nationale, elle est formellement prohibée pour la criminalité grave à laquelle appartiennent les abus de marché (Annexe I, Règlement (UE) 2016/794 du 11 mai 2016).

La conservation des données par les opérateurs de télécommunication auxquelles ont accès les enquêteurs relèvent de deux catégories : soit une conservation « ciblée » des données de trafics et de localisation sur la base d’éléments objectifs et non discriminatoires pour une durée limitée, soit une conservation « rapide » par injonction faite aux fournisseurs par décision de l’autorité compétente disposant d’un accès aux données relatives aux communications électroniques. Comme à la pêche, les enquêteurs doivent changer leur pratique, délaissant le filet pour la canne.

[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]En savoir plus…[/vcex_button]