Données de connexion

Délit d’initié : la preuve par données de connexion soumise à la CJUE | 19 mai 2020

Pouvoirs d’enquête de l’AMF

Deux dirigeants d’entreprise poursuivis pour délit d’initié, corruption et blanchiment ont obtenu de la Cour de cassation un renvoi préjudiciel sur la légalité de l’article L. 621-10 du code monétaire et financier. Cet article, déterminant dans les pouvoirs d’enquête de l’AMF, permet aux enquêteurs, de se faire communiquer tous documents, quel qu’en soit le support et notamment les données conservées et traitées par les opérateurs de télécommunications et les prestataires d’hébergement internet.

Acquisition suspicieuse de titres CGG, Airgas et Air Liquide

A la suite d’un signalement effectué par le secrétaire général de l’Autorité des marchés financiers (AMF), accompagné de données à caractère personnel relatives à l’utilisation de lignes téléphoniques des dirigeants, une instruction judiciaire a été ouverte dans le cadre de l’acquisition de titres CGG, Airgas et Air Liquide.

Données personnelles en cause

Pour recueillir les données relatives à l’utilisation de lignes téléphoniques des dirigeants, les agents de l’AMF se sont fondés sur l’article L. 621-10 du code monétaire et financier. Dans sa rédaction issue de la loi du 26 juillet 2013, applicable au cours de l’enquête de l’AMF, cet article autorisait les enquêteurs et les contrôleurs de cette autorité à se faire communiquer tous documents quel qu’en soit le support, mais également « les données conservées et traitées par les opérateurs de télécommunications dans le cadre de l’article L. 34-1 du code des postes et communications électroniques et les prestataires mentionnées aux 1 et 2 de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique et en obtenir la copie ».

En son paragraphe II, l’article L. 34-1 du code des postes et communications électroniques pose en principe que les opérateurs de communications électroniques doivent effacer ou rendre anonyme « toute donnée relative au trafic ». Toutefois, ce principe souffre quelques exceptions, dont celle prévue au III du même article, « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ». Pour ces besoins, l’effacement ou l’anonymisation d’un certain nombre de données sont différés d’un an.

Les cinq catégories de données concernées sont définies à l’article R. 10-13 du code précité, pris pour l’application de l’article L. 34-1, paragraphe III : informations permettant d’identifier l’utilisateur, données relatives aux équipements terminaux de communication utilisés, caractéristiques techniques ainsi que date, horaire et durée de chaque communication, données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs et, enfin, données permettant d’identifier le ou les destinataires de la communication. Ces données de connexion sont celles, générées ou traitées par suite d’une communication, qui sont relatives aux circonstances de celle-ci et aux utilisateurs du service à l’exclusion de toute indication sur le contenu des messages.

Saisine de la CJUE

La collecte généralisée et indifférenciée de ces données de connexion pourrait être remise en cause. Selon la CJUE (21 déc. 2016, Tele2 Sverige AB c. Post- och telestyrelsen et Secretary of State for the Home Department, aff. jointes C-203/15 et C-698/15), l’article 15, § 1, de la directive 2002/58/CE du 12 juillet 2002 s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique.

La législation nationale doit « prévoir des règles claires et précises régissant la portée et l’application d’une telle mesure de conservation des données et imposant un minimum d’exigences » et doit « en particulier indiquer en quelles circonstances et sous quelles conditions une mesure de conservation des données peut, à titre préventif, être prise, garantissant ainsi qu’une telle mesure soit limitée au strict nécessaire » (ibid).

Il est par ailleurs nécessaire que la conservation des données répondent « à des critères objectifs établissant un rapport entre les données à conserver et l’objectif poursuivi » et à des conditions matérielles « de nature à délimiter effectivement l’ampleur de la mesure et, par suite, le public concerné ».

Nature des questions soumises à la CJUE  

La question sera de déterminer si l’article 12 de la directive 2003/6/CE du 28 janvier 2003 sur les opérations d’initiés et les manipulations de marché, de même que l’article 23 du règlement (UE) 596/2014 du 16 avril 2014 sur les abus de marché, impliquent, compte tenu du caractère occulte des informations échangées et de la généralité du public susceptible d’être mis en cause, la possibilité, pour le législateur national, d’imposer aux opérateurs de communications électroniques une conservation temporaire mais généralisée des données de connexion pour permettre à l’AMF d’intervenir lorsqu’apparaissent à l’encontre de certaines personnes des raisons de soupçonner qu’elles sont impliquées dans une opération d’initié ou une manipulation de marché.

Se pose une question sur la conventionnalité des conditions de conservation des données personnelles de connexion par des opérateurs privés et une autre question sur sur les conditions de leur accès par l’AMF organisé par l’article L. 621-10 du CMF.

Position du Conseil constitutionnel

Pour rappel, le Conseil constitutionnel, par décision du 21 juillet 2017, a déclaré inconstitutionnel le premier alinéa de l’article L. 621-10 du code monétaire et financier au motif que la procédure d’accès par l’AMF, telle qu’elle existait à l’époque des faits, n’était pas conforme au droit au respect de la vie privée protégé par l’article 2 de la Déclaration des droits de l’homme et du citoyen. Cependant, considérant que l’abrogation immédiate des dispositions contestées aurait des conséquences manifestement excessives, le Conseil constitutionnel a reporté cette abrogation au 31 décembre 2008. Tirant les conséquences de cette déclaration d’inconstitutionnalité, le législateur, par la loi n° 2018-898 du 23 octobre 2018 a introduit un nouvel article L. 621-10-2 instaurant la délivrance d’une autorisation préalable par une autre autorité administrative indépendante appelée « contrôleur des demandes d’accès », de tout accès aux données de connexion par les enquêteurs de l’AMF ;

Spécificités du délit d’initié

Les  données de connexion constituent une preuve essentielle, et parfois la seule, permettant de détecter et de démontrer l’existence d’une opération d’initié ou d’une manipulation de marché, dès lors qu’elles permettent d’établir l’identité de la personne à l’origine de la diffusion d’une information fausse ou trompeuse, ou prouver que des personnes ont été en contact à un moment donné et démontrer l’existence d’une relation entre deux ou plusieurs personnes. Des informations privilégiées susceptibles de caractériser l’élément matériel de pratiques illicites en matière de marché sont, par essence, orales et secrètes.

L’exercice d’un droit de communication de ces données peut entrer en conflit avec le droit au respect de la vie privée et familiale, du domicile et des communications. Le droit européen prescrit donc aux Etats de prévoir des garanties appropriées et efficaces contre tout abus en limitant lesdits pouvoirs aux seuls cas où ils sont nécessaires à la conduite correcte d’une enquête sur des cas graves pour lesquels les Etats ne disposent pas de moyens équivalents leur permettant de parvenir efficacement au même résultat, ce dont il résulte que certains des abus de marché concernés par ce texte doivent être considérés comme des infractions graves.   

Se pose donc la question de savoir comment doit se concilier l’article 15, § 1 de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 de la charte des droits fondamentaux de l’Union européenne, avec les exigences posées par les dispositions précitées de la directive 2003/6 et du règlement 596/2014. Télécharger la décision

Haut
error: Content is protected !!