Arrêt de la Cour de justice de l’Union euro­péenne du 20 septembre 2022, Affaires jointes C‑339/​20 et C‑397/​20

Dans cette affaire, deux préve­nus sont pour­sui­vis en France pour délit d’initié et recel de délits d’initiés. Dans le cadre de l’enquête pénale, l’Autorité fran­çaise des marchés finan­ciers (AMF) commu­nique notam­ment au juge d’instruction des données person­nelles issues d’appels télé­pho­niques entre les préve­nus. Ces méta­don­nées recueillies sur la base de l’art. L. 34–1 CPCE concernent l’identité du desti­na­taire, les moyens utili­sés pour effec­tuer la commu­ni­ca­tion, la date, l’heure, l’endroit et la durée de celle-ci, ainsi que la loca­li­sa­tion des équi­pe­ments termi­naux et la fréquence des commu­ni­ca­tions. L’AMF a pu obte­nir ces données auprès d’opérateurs de services de commu­ni­ca­tions élec­tro­niques (opéra­teurs de télé­com­mu­ni­ca­tions). À la lumière de ces nouveaux éléments, l’instruction est ensuite éten­due, et les préve­nus mis en examens pour les chefs de délits d’initié, et blan­chi­ment pour l’un d’entre eux.

Étant donné que la mise en examen se fonde sur les données de trafic four­nies par l’AMF au juge d’instruction, les préve­nus déposent respec­ti­ve­ment un recours en invo­quant une viola­tion de plusieurs dispo­si­tions de droit euro­péen (not. art. 15 par. 1 Directive 2002/​58 et diverses dispo­si­tions de la Charte des droits fonda­men­taux de l’UE) ainsi que de la juris­pru­dence euro­péenne (cf. not. Aff. Tele2Sverige et Watson e.a. (C‑203/​15 et C‑698/​15 du 21 décembre 2016). En substance, les préve­nus consi­dèrent que les bases légales du droit natio­nal sur lesquelles se fonde l’AMF pour obte­nir les données liti­gieuses (L. 621–10 CMF ; L. 34–1 CPCE ; R. 10–13 CPCE) ne sont pas conformes au droit européen.

Ces dispo­si­tions de droit natio­nal imposent une obli­ga­tion aux opéra­teurs de télé­com­mu­ni­ca­tions fran­çais de conser­ver tempo­rai­re­ment (un an dès l’enregistrement), mais de manière géné­ra­li­sée et indif­fé­ren­ciée des données de connexion. Le but est de permettre à une auto­rité admi­nis­tra­tive (au sens des art. 11 Directive 2003/​6 et art. 22 Règlement n°596/2014, l’AMF in casu) de pouvoir se faire remettre les enre­gis­tre­ments exis­tants dans le cas où il exis­te­rait des soup­çons que les personnes concer­nées par ces données seraient impli­quées dans une opéra­tion d’initié ou de mani­pu­la­tion de marché. À rele­ver que de tels enre­gis­tre­ments consti­tuent souvent l’unique preuve pour démon­trer la réali­sa­tion de telles infractions.

Les recours ayant été reje­tés par la Cour d’appel de Paris, les préve­nus forment un pour­voi auprès de la Cour de cassa­tion qui décide de surseoir à statuer afin de dépo­ser trois ques­tions préju­di­cielles à la Cour de justice de l’Union euro­péenne (CJUE).

La première ques­tion traite de la compa­ti­bi­lité des règles natio­nales liti­gieuses avec le droit commu­nau­taire. À titre limi­naire, en s’appuyant sur les conclu­sions de l’avocat géné­ral, la CJUE indique que l’examen concer­nera prin­ci­pa­le­ment l’art. L. 621–10 CMF, mais que les art. L 34–1 et R. 10–13 CPCE restent des dispo­si­tions clés (par. 58 et 86).

Après une brève présen­ta­tion des obser­va­tions adres­sées par les parties ainsi que par divers pays inté­res­sés, la CJUE relève que le libellé des dispo­si­tions euro­péennes concer­nées (art. 12 par. 2 let. d Directive 2003/​6 ; art. 23 par. 2 let. g et h Règlement n°596/2014) est clair. Ces dispo­si­tions accordent unique­ment un droit d’accès aux données exis­tantes et elles n’instaurent pas une obli­ga­tion de conser­va­tion de tels enre­gis­tre­ments (par. 65‑70).

Toutefois, une inter­pré­ta­tion stric­te­ment litté­rale d’une dispo­si­tion ne doit pas non plus conduire à priver d’effet utile la dispo­si­tion en cause. Dès lors, la CJUE pour­suit son raison­ne­ment en exami­nant le contexte dans lequel s’inscrivent les dispo­si­tions susmen­tion­nées. En l’occurrence, ledit contexte ne laisse pas non plus trans­pa­raître une éven­tuelle possi­bi­lité pour les États membres d’instituer à la charge des opéra­teurs de télé­com­mu­ni­ca­tions une obli­ga­tion de conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée des données de trafic ni les condi­tions dans lesquelles ces données devraient être conser­vées pour être si besoin remises aux auto­ri­tés compé­tentes. Elles établissent unique­ment un droit d’accès des auto­ri­tés d’investigation finan­cière aux docu­ments néces­saires pour l’exercice de leurs tâches de surveillance et d’enquête (par. 71‑75).

L’objectif de ces dispo­si­tions est d’accorder un accès aux commu­ni­ca­tions exis­tantes. Elles ne laissent pas la possi­bi­lité aux États membres d’imposer aux opéra­teurs de télé­com­mu­ni­ca­tions une obli­ga­tion géné­rale de conser­va­tion des données. La CJUE conclut donc que ces dispo­si­tions commu­nau­taires n’accordent pas un mandat légis­la­tif pour les États membres de créer une telle obli­ga­tion de conser­va­tion (y compris dans le but de lutter contre des infrac­tions d’abus de marché) (par. 76–78).

La CJUE ajoute égale­ment que dans le but de préser­ver les droits fonda­men­taux (not. le droit à la vie privée), les États membres devraient prévoir des garan­ties appro­priées contre d’éventuels abus, comme une auto­ri­sa­tion préa­lable d’une auto­rité judi­ciaire (par. 79‑85).

La CJUE décide ensuite de véri­fier si, pour autant, les dispo­si­tions liti­gieuses de droit fran­çais sont incom­pa­tibles avec le droit commu­nau­taire. Ces dispo­si­tions permet­taient à l’AMF de recueillir les données de trafic auprès des opéra­teurs de télé­com­mu­ni­ca­tions qui devaient conser­ver pendant une année des données utiles à des fins de recherche, de consta­ta­tion et de pour­suite d’infractions pénales (par. 86–88).

Cette régle­men­ta­tion couvre l’ensemble des moyens de commu­ni­ca­tion et des utili­sa­teurs sans excep­tion. Or, bien qu’elles ne couvrent pas le contenu de ces commu­ni­ca­tions, les données person­nelles concer­nées sont parti­cu­liè­re­ment précises puisqu’elles permettent de retrou­ver la source et la desti­na­tion d’une commu­ni­ca­tion. Par consé­quent, mises ensemble, ces données consti­tuent une ingé­rence impor­tante dans la vie privée puisqu’elles permet­traient de recons­ti­tuer le quoti­dien des personnes concer­nées (lieux de séjour, habi­tudes de vie, dépla­ce­ments jour­na­liers, acti­vi­tés, rela­tions sociales, etc.). Ces données sont cepen­dant unique­ment collec­tées et conser­vées dans le but de lutter contre des infrac­tions pénales, notam­ment les infrac­tions rela­tives aux abus de marché. Au vu de ces objec­tifs, la CJUE estime qu’une obli­ga­tion de conser­va­tion pendant une durée d’un an ne serait pas propor­tion­née au regard des buts pour­sui­vis et de la viola­tion impor­tante des droits fonda­men­taux qu’elle consti­tue (par. 89‑93). Dès lors, la régle­men­ta­tion natio­nale liti­gieuse excède le strict néces­saire et n’est pas justi­fiée. Les dispo­si­tions de droit fran­çais sont donc décla­rées incom­pa­tibles avec le droit commu­nau­taire, plus spéci­fi­que­ment l’art. L‑621–10 CMF par. 94‑95).

Ayant constaté qu’il n’existe ni mandat légis­la­tif ni compa­ti­bi­lité des dispo­si­tions fran­çaises avec le droit euro­péen, la CJUE se penche ensuite sur la seconde ques­tion préju­di­cielle, à savoir la possi­bi­lité de limi­ter dans le temps les effets de cette décla­ra­tion d’invalidité. La CJUE relève que le main­tien d’une telle régle­men­ta­tion impose aux opéra­teurs de télé­com­mu­ni­ca­tion, une obli­ga­tion contraire au droit euro­péen et qui, de plus, consti­tue une viola­tion impor­tante aux droits fonda­men­taux. Par consé­quent, la CJUE estime que cette régle­men­ta­tion ne peut pas être main­te­nue, y compris provi­soi­re­ment (par. 96‑103).

Enfin, dans un dernier point, la CJUE examine si l’incompatibilité de l’art. L‑621–10 CMF doit avoir une inci­dence sur la rece­va­bi­lité des preuves rete­nues contre les préve­nus dans le cadre de la procé­dure pénale natio­nale. Après avoir rappelé le prin­cipe d’autonomie procé­du­rale des États membres et ses limites, la CJUE conclut que l’admissibilité des preuves relève du droit natio­nal. Toutefois, elle précise que le juge pénal natio­nal est tenu d’écarter les preuves obte­nues dans la présente affaire en viola­tion du droit euro­péen, dans la mesure où les préve­nus n’ont pas eu la possi­bi­lité de se pronon­cer sur ces preuves, alors même que ces dernières sont suscep­tibles d’influencer de manière prépon­dé­rante l’appréciation des faits et qu’elles échappent à la connais­sance des juges (par. 104‑107).

Il ressort de cette affaire que le droit euro­péen ne permet pas aux États membres d’adopter à titre préven­tif, aux fins de lutter contre les infrac­tions d’abus de marché, une régle­men­ta­tion impo­sant aux opéra­teurs de télé­com­mu­ni­ca­tions une obli­ga­tion de conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée des données de trafic pendant un an dès l’enregistrement des données. Ainsi, le droit fran­çais n’est pas compa­tible avec le droit commu­nau­taire et les dispo­si­tions liti­gieuses ne peuvent, dès à présent, plus être appli­quées. Ce constat d’incompatibilité implique que les preuves obte­nues sur cette base dans les procé­dures pénales pendantes pour ce type d’infractions peuvent poten­tiel­le­ment ne pas être rete­nues. Il appar­tien­dra aux juges natio­naux de se pronon­cer sur leurs recevabilités.

À rele­ver fina­le­ment qu’en Suisse, lorsqu’il est confronté à une ques­tion simi­laire, le Tribunal fédé­ral parvient à des conclu­sions diamé­tra­le­ment oppo­sées à celles de la CJUE. Le Tribunal fédé­ral a, par plusieurs fois, estimé que la réten­tion systé­ma­tique de données secon­daires de tous les usagers pendant six mois n’était pas contraire à la Constitution fédé­rale, ni à la Convention de sauve­garde des droits de l’homme et des liber­tés fonda­men­tales aux motifs que l’intensité de l’ingérence aux droits fonda­men­taux des utili­sa­teurs était propor­tion­née et que l’accès à ces données par les auto­ri­tés pénales était soumis aux condi­tions du CPP, rappe­lant au passage qu’il n’était pas lié par la juris­pru­dence de la CJUE (cf. www​.swiss​pri​vacy​.law/​135).