swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

Collecte et conservation des données restreintes dans le cadre de la prévention contre les abus de marché

Enzo Bastian, le 26 avril 2023
Dans une affaire de délits d’initiés, l’Autorité fran­çaise des marchés finan­ciers a obtenu des données person­nelles sur la base de règles natio­nales impo­sant aux opéra­teurs de services de commu­ni­ca­tions élec­tro­niques, une obli­ga­tion de conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée de données d’une durée d’une année. La CJUE se prononce sur la compa­ti­bi­lité de ces règles au regard du droit européen.

Arrêt de la Cour de justice de l’Union euro­péenne du 20 septembre 2022, Affaires jointes C‑339/​20 et C‑397/​20

Dans cette affaire, deux préve­nus sont pour­sui­vis en France pour délit d’initié et recel de délits d’initiés. Dans le cadre de l’enquête pénale, l’Autorité fran­çaise des marchés finan­ciers (AMF) commu­nique notam­ment au juge d’instruction des données person­nelles issues d’appels télé­pho­niques entre les préve­nus. Ces méta­don­nées recueillies sur la base de l’art. L. 34–1 CPCE concernent l’identité du desti­na­taire, les moyens utili­sés pour effec­tuer la commu­ni­ca­tion, la date, l’heure, l’endroit et la durée de celle-ci, ainsi que la loca­li­sa­tion des équi­pe­ments termi­naux et la fréquence des commu­ni­ca­tions. L’AMF a pu obte­nir ces données auprès d’opérateurs de services de commu­ni­ca­tions élec­tro­niques (opéra­teurs de télé­com­mu­ni­ca­tions). À la lumière de ces nouveaux éléments, l’instruction est ensuite éten­due, et les préve­nus mis en examens pour les chefs de délits d’initié, et blan­chi­ment pour l’un d’entre eux.

Étant donné que la mise en examen se fonde sur les données de trafic four­nies par l’AMF au juge d’instruction, les préve­nus déposent respec­ti­ve­ment un recours en invo­quant une viola­tion de plusieurs dispo­si­tions de droit euro­péen (not. art. 15 par. 1 Directive 2002/​58 et diverses dispo­si­tions de la Charte des droits fonda­men­taux de l’UE) ainsi que de la juris­pru­dence euro­péenne (cf. not. Aff. Tele2Sverige et Watson e.a. (C‑203/​15 et C‑698/​15 du 21 décembre 2016). En substance, les préve­nus consi­dèrent que les bases légales du droit natio­nal sur lesquelles se fonde l’AMF pour obte­nir les données liti­gieuses (L. 621–10 CMF ; L. 34–1 CPCE ; R. 10–13 CPCE) ne sont pas conformes au droit européen.

Ces dispo­si­tions de droit natio­nal imposent une obli­ga­tion aux opéra­teurs de télé­com­mu­ni­ca­tions fran­çais de conser­ver tempo­rai­re­ment (un an dès l’enregistrement), mais de manière géné­ra­li­sée et indif­fé­ren­ciée des données de connexion. Le but est de permettre à une auto­rité admi­nis­tra­tive (au sens des art. 11 Directive 2003/​6 et art. 22 Règlement n°596/2014, l’AMF in casu) de pouvoir se faire remettre les enre­gis­tre­ments exis­tants dans le cas où il exis­te­rait des soup­çons que les personnes concer­nées par ces données seraient impli­quées dans une opéra­tion d’initié ou de mani­pu­la­tion de marché. À rele­ver que de tels enre­gis­tre­ments consti­tuent souvent l’unique preuve pour démon­trer la réali­sa­tion de telles infractions.

Les recours ayant été reje­tés par la Cour d’appel de Paris, les préve­nus forment un pour­voi auprès de la Cour de cassa­tion qui décide de surseoir à statuer afin de dépo­ser trois ques­tions préju­di­cielles à la Cour de justice de l’Union euro­péenne (CJUE).

La première ques­tion traite de la compa­ti­bi­lité des règles natio­nales liti­gieuses avec le droit commu­nau­taire. À titre limi­naire, en s’appuyant sur les conclu­sions de l’avocat géné­ral, la CJUE indique que l’examen concer­nera prin­ci­pa­le­ment l’art. L. 621–10 CMF, mais que les art. L 34–1 et R. 10–13 CPCE restent des dispo­si­tions clés (par. 58 et 86).

Après une brève présen­ta­tion des obser­va­tions adres­sées par les parties ainsi que par divers pays inté­res­sés, la CJUE relève que le libellé des dispo­si­tions euro­péennes concer­nées (art. 12 par. 2 let. d Directive 2003/​6 ; art. 23 par. 2 let. g et h Règlement n°596/2014) est clair. Ces dispo­si­tions accordent unique­ment un droit d’accès aux données exis­tantes et elles n’instaurent pas une obli­ga­tion de conser­va­tion de tels enre­gis­tre­ments (par. 65‑70).

Toutefois, une inter­pré­ta­tion stric­te­ment litté­rale d’une dispo­si­tion ne doit pas non plus conduire à priver d’effet utile la dispo­si­tion en cause. Dès lors, la CJUE pour­suit son raison­ne­ment en exami­nant le contexte dans lequel s’inscrivent les dispo­si­tions susmen­tion­nées. En l’occurrence, ledit contexte ne laisse pas non plus trans­pa­raître une éven­tuelle possi­bi­lité pour les États membres d’instituer à la charge des opéra­teurs de télé­com­mu­ni­ca­tions une obli­ga­tion de conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée des données de trafic ni les condi­tions dans lesquelles ces données devraient être conser­vées pour être si besoin remises aux auto­ri­tés compé­tentes. Elles établissent unique­ment un droit d’accès des auto­ri­tés d’investigation finan­cière aux docu­ments néces­saires pour l’exercice de leurs tâches de surveillance et d’enquête (par. 71‑75).

L’objectif de ces dispo­si­tions est d’accorder un accès aux commu­ni­ca­tions exis­tantes. Elles ne laissent pas la possi­bi­lité aux États membres d’imposer aux opéra­teurs de télé­com­mu­ni­ca­tions une obli­ga­tion géné­rale de conser­va­tion des données. La CJUE conclut donc que ces dispo­si­tions commu­nau­taires n’accordent pas un mandat légis­la­tif pour les États membres de créer une telle obli­ga­tion de conser­va­tion (y compris dans le but de lutter contre des infrac­tions d’abus de marché) (par. 76–78).

La CJUE ajoute égale­ment que dans le but de préser­ver les droits fonda­men­taux (not. le droit à la vie privée), les États membres devraient prévoir des garan­ties appro­priées contre d’éventuels abus, comme une auto­ri­sa­tion préa­lable d’une auto­rité judi­ciaire (par. 79‑85).

La CJUE décide ensuite de véri­fier si, pour autant, les dispo­si­tions liti­gieuses de droit fran­çais sont incom­pa­tibles avec le droit commu­nau­taire. Ces dispo­si­tions permet­taient à l’AMF de recueillir les données de trafic auprès des opéra­teurs de télé­com­mu­ni­ca­tions qui devaient conser­ver pendant une année des données utiles à des fins de recherche, de consta­ta­tion et de pour­suite d’infractions pénales (par. 86–88).

Cette régle­men­ta­tion couvre l’ensemble des moyens de commu­ni­ca­tion et des utili­sa­teurs sans excep­tion. Or, bien qu’elles ne couvrent pas le contenu de ces commu­ni­ca­tions, les données person­nelles concer­nées sont parti­cu­liè­re­ment précises puisqu’elles permettent de retrou­ver la source et la desti­na­tion d’une commu­ni­ca­tion. Par consé­quent, mises ensemble, ces données consti­tuent une ingé­rence impor­tante dans la vie privée puisqu’elles permet­traient de recons­ti­tuer le quoti­dien des personnes concer­nées (lieux de séjour, habi­tudes de vie, dépla­ce­ments jour­na­liers, acti­vi­tés, rela­tions sociales, etc.). Ces données sont cepen­dant unique­ment collec­tées et conser­vées dans le but de lutter contre des infrac­tions pénales, notam­ment les infrac­tions rela­tives aux abus de marché. Au vu de ces objec­tifs, la CJUE estime qu’une obli­ga­tion de conser­va­tion pendant une durée d’un an ne serait pas propor­tion­née au regard des buts pour­sui­vis et de la viola­tion impor­tante des droits fonda­men­taux qu’elle consti­tue (par. 89‑93). Dès lors, la régle­men­ta­tion natio­nale liti­gieuse excède le strict néces­saire et n’est pas justi­fiée. Les dispo­si­tions de droit fran­çais sont donc décla­rées incom­pa­tibles avec le droit commu­nau­taire, plus spéci­fi­que­ment l’art. L‑621–10 CMF par. 94‑95).

Ayant constaté qu’il n’existe ni mandat légis­la­tif ni compa­ti­bi­lité des dispo­si­tions fran­çaises avec le droit euro­péen, la CJUE se penche ensuite sur la seconde ques­tion préju­di­cielle, à savoir la possi­bi­lité de limi­ter dans le temps les effets de cette décla­ra­tion d’invalidité. La CJUE relève que le main­tien d’une telle régle­men­ta­tion impose aux opéra­teurs de télé­com­mu­ni­ca­tion, une obli­ga­tion contraire au droit euro­péen et qui, de plus, consti­tue une viola­tion impor­tante aux droits fonda­men­taux. Par consé­quent, la CJUE estime que cette régle­men­ta­tion ne peut pas être main­te­nue, y compris provi­soi­re­ment (par. 96‑103).

Enfin, dans un dernier point, la CJUE examine si l’incompatibilité de l’art. L‑621–10 CMF doit avoir une inci­dence sur la rece­va­bi­lité des preuves rete­nues contre les préve­nus dans le cadre de la procé­dure pénale natio­nale. Après avoir rappelé le prin­cipe d’autonomie procé­du­rale des États membres et ses limites, la CJUE conclut que l’admissibilité des preuves relève du droit natio­nal. Toutefois, elle précise que le juge pénal natio­nal est tenu d’écarter les preuves obte­nues dans la présente affaire en viola­tion du droit euro­péen, dans la mesure où les préve­nus n’ont pas eu la possi­bi­lité de se pronon­cer sur ces preuves, alors même que ces dernières sont suscep­tibles d’influencer de manière prépon­dé­rante l’appréciation des faits et qu’elles échappent à la connais­sance des juges (par. 104‑107).

Il ressort de cette affaire que le droit euro­péen ne permet pas aux États membres d’adopter à titre préven­tif, aux fins de lutter contre les infrac­tions d’abus de marché, une régle­men­ta­tion impo­sant aux opéra­teurs de télé­com­mu­ni­ca­tions une obli­ga­tion de conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée des données de trafic pendant un an dès l’enregistrement des données. Ainsi, le droit fran­çais n’est pas compa­tible avec le droit commu­nau­taire et les dispo­si­tions liti­gieuses ne peuvent, dès à présent, plus être appli­quées. Ce constat d’incompatibilité implique que les preuves obte­nues sur cette base dans les procé­dures pénales pendantes pour ce type d’infractions peuvent poten­tiel­le­ment ne pas être rete­nues. Il appar­tien­dra aux juges natio­naux de se pronon­cer sur leurs recevabilités.

À rele­ver fina­le­ment qu’en Suisse, lorsqu’il est confronté à une ques­tion simi­laire, le Tribunal fédé­ral parvient à des conclu­sions diamé­tra­le­ment oppo­sées à celles de la CJUE. Le Tribunal fédé­ral a, par plusieurs fois, estimé que la réten­tion systé­ma­tique de données secon­daires de tous les usagers pendant six mois n’était pas contraire à la Constitution fédé­rale, ni à la Convention de sauve­garde des droits de l’homme et des liber­tés fonda­men­tales aux motifs que l’intensité de l’ingérence aux droits fonda­men­taux des utili­sa­teurs était propor­tion­née et que l’accès à ces données par les auto­ri­tés pénales était soumis aux condi­tions du CPP, rappe­lant au passage qu’il n’était pas lié par la juris­pru­dence de la CJUE (cf. www​.swiss​pri​vacy​.law/​135).



Proposition de citation : Enzo Bastian, Collecte et conservation des données restreintes dans le cadre de la prévention contre les abus de marché, 26 avril 2023 in www.swissprivacy.law/223


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Obligation de conservation généralisée et indifférenciée
  • Réutilisation de données personnelles – Les limitations de la directive vie privée et communications…
  • Utilisation de données de communications dans les enquêtes pénales
  • L’Oberlandesgericht de Karlsruhe confirme la licéité d’un contrat cloud passé entre un organe public…
Derniers articles
  • Collectes de données personnelles par des étudiants dans le cadre de travaux académiques : qui est responsable du traitement ?
  • La LPD refoulée en clinique : des sanctions pénales plus théoriques que pratiques
  • La protection des personnes physiques à l’égard du traitement des données à caractère personnel en vertu de l’art. 58 par. 2 RGPD
  • 2e révision des ordonnances de la LSCPT : vers une surveillance de tout un chacun toujours plus intrusive pour l’internet suisse
Abonnement à notre newsletter
swissprivacy.law