Type de juridiction : Cour de cassation

Juridiction : Cour de cassation

Thématique : Délit d’initié : la preuve par données de connexion soumise à la CJUE

Pouvoirs d’enquête de l’AMF

Deux
dirigeants d’entreprise poursuivis pour délit d’initié, corruption et blanchiment
ont obtenu de la Cour de cassation un renvoi préjudiciel sur la légalité de l’article
L. 621-10 du code monétaire et financier. Cet article, déterminant dans les pouvoirs
d’enquête de l’AMF, permet aux enquêteurs, de se faire communiquer tous
documents, quel qu’en soit le support et notamment les données conservées et
traitées par les opérateurs de télécommunications et les prestataires d’hébergement
internet.

Acquisition suspicieuse de titres CGG, Airgas et Air Liquide

A
la suite d’un signalement effectué par le secrétaire général de l’Autorité des
marchés financiers (AMF), accompagné de données à caractère personnel relatives
à l’utilisation de lignes téléphoniques des dirigeants, une instruction judiciaire
a été ouverte dans le cadre de l’acquisition de titres CGG, Airgas et Air
Liquide.

Données personnelles en cause

Pour
recueillir les données relatives à l’utilisation de lignes téléphoniques des
dirigeants, les agents de l’AMF se sont fondés sur l’article L. 621-10 du code
monétaire et financier. Dans sa rédaction issue de la loi du 26 juillet 2013,
applicable au cours de l’enquête de l’AMF, cet article autorisait les
enquêteurs et les contrôleurs de cette autorité à se faire communiquer tous
documents quel qu’en soit le support, mais également « les données conservées
et traitées par les opérateurs de télécommunications dans le cadre de l’article
L. 34-1 du code des postes et communications électroniques et les prestataires
mentionnées aux 1 et 2 de l’article 6 de la loi n° 2004-575 du 21 juin 2004
pour la confiance dans l’économie numérique et en obtenir la copie ».

En
son paragraphe II, l’article L. 34-1 du code des postes et communications
électroniques pose en principe que les opérateurs de communications
électroniques doivent effacer ou rendre anonyme « toute donnée relative au
trafic ». Toutefois, ce principe souffre quelques exceptions, dont celle prévue
au III du même article, « pour les besoins de la recherche, de la constatation
et de la poursuite des infractions pénales ». Pour ces besoins, l’effacement ou
l’anonymisation d’un certain nombre de données sont différés d’un an.

Les
cinq catégories de données concernées sont définies à l’article R. 10-13 du
code précité, pris pour l’application de l’article L. 34-1, paragraphe III :
informations permettant d’identifier l’utilisateur, données relatives aux
équipements terminaux de communication utilisés, caractéristiques techniques
ainsi que date, horaire et durée de chaque communication, données relatives aux
services complémentaires demandés ou utilisés et leurs fournisseurs et, enfin,
données permettant d’identifier le ou les destinataires de la communication.
Ces données de connexion sont celles, générées ou traitées par suite d’une
communication, qui sont relatives aux circonstances de celle-ci et aux
utilisateurs du service à l’exclusion de toute indication sur le contenu des
messages.

Saisine de la CJUE

La
collecte généralisée et indifférenciée de ces données de connexion pourrait
être remise en cause. Selon la CJUE (21 déc. 2016, Tele2 Sverige AB c. Post-
och telestyrelsen et Secretary of State for the Home Department, aff. jointes
C-203/15 et C-698/15), l’article 15, § 1, de la directive 2002/58/CE du 12
juillet 2002 s’oppose à une réglementation nationale prévoyant, à des fins de
lutte contre la criminalité, une conservation généralisée et indifférenciée de
l’ensemble des données relatives au trafic et des données de localisation de
tous les abonnés et utilisateurs inscrits concernant tous les moyens de
communication électronique.

La
législation nationale doit « prévoir des règles claires et précises régissant
la portée et l’application d’une telle mesure de conservation des données et
imposant un minimum d’exigences » et doit « en particulier indiquer en quelles
circonstances et sous quelles conditions une mesure de conservation des données
peut, à titre préventif, être prise, garantissant ainsi qu’une telle mesure
soit limitée au strict nécessaire » (ibid).

Il
est par ailleurs nécessaire que la conservation des données répondent « à des
critères objectifs établissant un rapport entre les données à conserver et
l’objectif poursuivi » et à des conditions matérielles « de nature à délimiter
effectivement l’ampleur de la mesure et, par suite, le public concerné ».

Nature des questions soumises à la CJUE

La
question sera de déterminer si l’article 12 de la directive 2003/6/CE du 28
janvier 2003 sur les opérations d’initiés et les manipulations de marché, de
même que l’article 23 du règlement (UE) 596/2014 du 16 avril 2014 sur les abus
de marché, impliquent, compte tenu du caractère occulte des informations
échangées et de la généralité du public susceptible d’être mis en cause, la
possibilité, pour le législateur national, d’imposer aux opérateurs de
communications électroniques une conservation temporaire mais généralisée des
données de connexion pour permettre à l’AMF d’intervenir lorsqu’apparaissent à
l’encontre de certaines personnes des raisons de soupçonner qu’elles sont
impliquées dans une opération d’initié ou une manipulation de marché.

Se pose une question sur la conventionnalité des conditions de conservation des données personnelles de connexion par des opérateurs privés et une autre question sur sur les conditions de leur accès par l’AMF organisé par l’article L. 621-10 du CMF.

Position du Conseil constitutionnel

Pour
rappel, le Conseil constitutionnel, par décision du 21 juillet 2017, a déclaré
inconstitutionnel le premier alinéa de l’article L. 621-10 du code monétaire et
financier au motif que la procédure d’accès par l’AMF, telle qu’elle existait à
l’époque des faits, n’était pas conforme au droit au respect de la vie privée
protégé par l’article 2 de la Déclaration des droits de l’homme et du citoyen.
Cependant, considérant que l’abrogation immédiate des dispositions contestées
aurait des conséquences manifestement excessives, le Conseil constitutionnel a
reporté cette abrogation au 31 décembre 2008. Tirant les conséquences de cette
déclaration d’inconstitutionnalité, le législateur, par la loi n° 2018-898 du
23 octobre 2018 a introduit un nouvel article L. 621-10-2 instaurant la
délivrance d’une autorisation préalable par une autre autorité administrative
indépendante appelée « contrôleur des demandes d’accès », de tout accès aux
données de connexion par les enquêteurs de l’AMF ;

Spécificités du délit d’initié

Les
données de connexion constituent une
preuve essentielle, et parfois la seule, permettant de détecter et de démontrer
l’existence d’une opération d’initié ou d’une manipulation de marché, dès lors
qu’elles permettent d’établir l’identité de la personne à l’origine de la
diffusion d’une information fausse ou trompeuse, ou prouver que des personnes
ont été en contact à un moment donné et démontrer l’existence d’une relation
entre deux ou plusieurs personnes. Des informations privilégiées susceptibles
de caractériser l’élément matériel de pratiques illicites en matière de marché sont,
par essence, orales et secrètes.

L’exercice
d’un droit de communication de ces données peut entrer en conflit avec le droit
au respect de la vie privée et familiale, du domicile et des communications. Le
droit européen prescrit donc aux Etats de prévoir des garanties appropriées et
efficaces contre tout abus en limitant lesdits pouvoirs aux seuls cas où ils
sont nécessaires à la conduite correcte d’une enquête sur des cas graves pour
lesquels les Etats ne disposent pas de moyens équivalents leur permettant de
parvenir efficacement au même résultat, ce dont il résulte que certains des
abus de marché concernés par ce texte doivent être considérés comme des
infractions graves.

Se pose donc la question de savoir comment doit se concilier l’article 15, § 1 de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 de la charte des droits fondamentaux de l’Union européenne, avec les exigences posées par les dispositions précitées de la directive 2003/6 et du règlement 596/2014. Télécharger la décision