L’accès aux données de connexion, énoncé que la faculté offerte aux enquêteurs de l’AMF d’obtenir des données de connexion sans contrôle préalable par une juridiction ou une autre autorité administrative indépendante n’était pas conforme aux exigences posées par les articles 7, 8 et 11 de la Charte des droits fondamentaux de l’Union européenne, tels qu’interprétés par la Cour de justice de l’Union européenne (CJUE)

Annulation de la procédure de l’AMF

Mis en examen le 29 mai 2017 du chef susvisé se rapportant à des opérations suspectes ayant affecté le titre [1] courant 2015, M. [M] [S] a présenté une requête en annulation de pièces de la procédure, relatives, en particulier, au recueil de données de connexion téléphoniques par les agents de l’Autorité des marchés financiers (AMF) au cours d’une enquête administrative.

Régime des données de trafic et de localisation

La conformité aux exigences du droit de l’Union européenne des dispositions permettant aux enquêteurs de l’AMF de recueillir, auprès des opérateurs de communications électroniques, des données de connexion conservées par ceux-ci doit être appréciée au regard des principes dégagés par la Cour de cassation (Crim., 12 juillet 2022, pourvoi n° 21-83.710, publié au Bulletin), en application des dispositions de l’article 15 de la directive « vie privée et communications électroniques » (CJUE, arrêt du 21 décembre 2016, Tele2 Sverige AB, C-203/15 ; CJUE, arrêt du 6 octobre 2020, [5]., [3] e.a, C-511/18, C-512/18, C-520/18 ; CJUE, arrêt du 2 mars 2021, [4], C-746/18 ; CJUE, arrêt du 5 avril 2022, [2], C-140/20).

Ainsi, doivent être écartés, comme contraires au droit de l’Union européenne, l’article L. 34-1, III, du code des postes et communications électroniques, dans sa version issue de la loi n° 2013-1168 du 18 décembre 2013, ainsi que l’article R. 10-13 dudit code, en ce qu’ils imposaient aux opérateurs de services de communications électroniques une conservation généralisée et indifférenciée, à titre préventif, des données de trafic et de localisation notamment aux fins de lutte contre les abus de marché, quel que soit leur degré de gravité.

En revanche, dès lors que le droit de l’Union européenne admet la conservation généralisée et indifférenciée des données de connexion aux fins de sauvegarde de la sécurité nationale, est conforme au droit de l’Union l’obligation faite aux opérateurs de communications électroniques de conserver ces données de manière généralisée et indifférenciée en raison de la menace grave, réelle et actuelle ou prévisible à laquelle la France se trouve exposée depuis décembre 1994, du fait du terrorisme et de l’activité de groupes radicaux et extrémistes.

Injonction tendant à la conservation des données

Par ailleurs, le droit de l’Union européenne, qui autorise la délivrance d’une injonction tendant à la conservation rapide des données relatives au trafic et des données de localisation stockées par les opérateurs, soit pour leurs besoins propres, soit au titre d’une obligation de conservation imposée aux fins de sauvegarde de la sécurité nationale, permet d’accéder auxdites données pour l’élucidation d’une infraction pénale déterminée relevant de la criminalité grave. Une telle mesure de conservation rapide peut être ordonnée dès le premier stade d’une enquête, serait-elle administrative, portant sur un éventuel acte de criminalité grave, tant lorsque cet acte a déjà pu être constaté que lorsque son existence peut, au terme d’un examen objectif de l’ensemble des circonstances pertinentes, être raisonnablement soupçonnée.

En application de ces principes, les demandes adressées, en exécution des dispositions de l’article L. 621-10 du code monétaire et financier, dans sa version applicable au litige, par les enquêteurs de l’AMF, pour les strictes nécessités d’une enquête déterminée portant sur un abus de marché relevant de la criminalité grave, aux opérateurs de communications électroniques, peuvent être interprétées comme valant injonction de conservation rapide.

Position de la CJUE 

En réponse aux questions préjudicielles posées par la Cour de cassation, la CJUE a dit pour droit que :

– l’article 12, § 2, sous a) et d), de la directive 2003/6/CE du Parlement européen et du Conseil, du 28 janvier 2003, sur les opérations d’initiés et les manipulations de marché (abus de marché), et l’article 23, § 2, sous g) et h), du règlement (UE) n° 596/2014 du Parlement européen et du Conseil, du 16 avril 2014, sur les abus de marché (règlement relatif aux abus de marché) et abrogeant la directive 2003/6 et les directives 2003/124/CE, 2003/125/CE et 2004/72/CE de la Commission, lus en combinaison avec l’article 15, § 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, et à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, § 1, de la Charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens qu’ils s’opposent à des mesures législatives prévoyant, à titre préventif, aux fins de la lutte contre les infractions d’abus de marché, dont font partie les opérations d’initiés, une conservation généralisée et indifférenciée des données de trafic pendant un an à compter du jour de l’enregistrement ;

– le droit de l’Union doit être interprété en ce sens qu’il s’oppose à ce qu’une juridiction nationale limite dans le temps les effets d’une déclaration d’invalidité qui lui incombe, en vertu du droit national, à l’égard des dispositions nationales qui, d’une part, imposent aux opérateurs de services de communications électroniques une conservation généralisée et indifférenciée des données relatives au trafic et, d’autre part, permettent la communication de telles données à l’autorité compétente en matière financière, sans autorisation préalable d’une juridiction ou d’une autorité administrative indépendante, en raison de l’incompatibilité de ces dispositions avec l’article 15, § 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière de la Charte des droits fondamentaux de l’Union européenne ;

– l’admissibilité des éléments de preuve obtenus en application des dispositions législatives nationales incompatibles avec le droit de l’Union relève, conformément au principe d’autonomie procédurale des Etats membres, du droit national, sous réserve du respect, notamment, des principes d’équivalence et d’effectivité (CJUE, arrêt du 20 septembre 2022, C-339/20 et C-397/20).

La CJUE a constaté que la directive « vie privée et communications électroniques » constitue l’acte de référence en matière de conservation et, de manière plus générale, de traitement des données à caractère personnel dans le secteur des communications électroniques. 

Dès lors, son interprétation régit les enregistrements des données de trafic détenus par les opérateurs de services de communications électroniques que les autorités compétentes en matière financière, au sens de la directive et du règlement relatifs aux abus de marché, peuvent se faire remettre par ces opérateurs.

Elle en déduit que l’appréciation de la licéité du traitement des enregistrements détenus par ces mêmes opérateurs doit s’effectuer à la lumière des conditions prévues par la directive « vie privée et communications électroniques », telle qu’elle l’a interprétée (arrêt précité, §§ 79 et 82).

S’agissant de la gravité des faits, il appartient encore à la juridiction de motiver sa décision au regard de la nature des agissements de la personne concernée, de l’importance du dommage qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue.

Dans cette appréciation, les juges peuvent se référer aux critères figurant au considérant 11 de la directive 2014/57/UE du Parlement européen et du Conseil du 16 avril 2014 relative aux sanctions pénales applicables aux abus de marché, parmi lesquels l’incidence sur l’intégrité du marché, le bénéfice réel ou potentiel engrangé ou la perte évitée, l’importance du préjudice causé au marché ou la valeur globale des instruments financiers négociés, ainsi que la commission de l’infraction dans le cadre d’une organisation criminelle.


R É P U B L I Q U E  F R A N Ç A I S E

________________________________________

AU NOM DU PEUPLE FRANÇAIS

_________________________

N° R 19-82.223 FS-D

N° 00466

10 MAI 2023

CASSATION PARTIELLE

M. BONNAL président,

ARRÊT DE LA COUR DE CASSATION, CHAMBRE CRIMINELLE,

DU 10 MAI 2023

M. [M] [S] a formé un pourvoi contre l’arrêt n° 5 de la chambre de l’instruction de la cour d’appel de Paris, 2e section, en date du 7 mars 2019, qui, dans l’information suivie contre lui du chef du délit d’initié, a prononcé sur sa demande d’annulation de pièces de la procédure.

Par ordonnance en date du 22 mai 2019, le président de la chambre criminelle a prescrit l’examen immédiat du pourvoi.

Un mémoire et des observations complémentaires ont été produits.

Sur le rapport de Mme Thomas, conseiller, les observations de la SCP Spinosi, avocat de M. [M] [S], et les conclusions de M. Petitprez, avocat général, les avocats ayant eu la parole en dernier, après débats en l’audience publique du 14 mars 2023 où étaient présents M. Bonnal, président, Mme Thomas, conseiller rapporteur, Mmes de la Lance, Labrousse, MM. d’Huy, Wyon, Mme Piazza, MM. Maziau, Pauthe, Seys, Dary, Turcey, de Lamy, Hill, conseillers, M. Ascensi, Mme Fouquet, M. Violeau, Mmes Merloz, Chafaï, M. Michon, conseillers référendaires, M. Petiprez, avocat général, et Mme Lavaud, greffier de chambre,

la chambre criminelle de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt.

Exposé du litige

Faits et procédure

1. Il résulte de l’arrêt attaqué et des pièces de la procédure ce qui suit.

2. Mis en examen le 29 mai 2017 du chef susvisé se rapportant à des opérations suspectes ayant affecté le titre [1] courant 2015, M. [M] [S] a présenté une requête en annulation de pièces de la procédure, relatives, en particulier, au recueil de données de connexion téléphoniques par les agents de l’Autorité des marchés financiers (AMF) au cours d’une enquête administrative.

3. Par arrêt du 7 mars 2019, la chambre de l’instruction de Paris a rejeté la requête.

4. Par arrêt du 1er avril 2020, la Cour de cassation a rejeté les premier, troisième et quatrième moyens et, s’agissant du deuxième, relatif aux données de connexion, a, d’une part, sur l’accès aux données de connexion, énoncé que la faculté offerte aux enquêteurs de l’AMF d’obtenir des données de connexion sans contrôle préalable par une juridiction ou une autre autorité administrative indépendante n’était pas conforme aux exigences posées par les articles 7, 8 et 11 de la Charte des droits fondamentaux de l’Union européenne, tels qu’interprétés par la Cour de justice de l’Union européenne (CJUE), d’autre part, saisi cette Cour des questions préjudicielles suivantes :

1) L’article 12, § 2, points a) et d) de la directive 2003/6/CE du Parlement européen et du Conseil du 28 janvier 2003 sur les opérations d’initiés et les manipulations de marché, de même que l’article 23, § 2, points g) et h) du règlement (UE) 596/2014 du Parlement et du Conseil du 16 avril 2014 sur les abus de marché, qui s’est substitué au premier à compter du 3 juillet 2016, lu à la lumière du considérant 65 de ce règlement, n’impliquent-ils pas, compte tenu du caractère occulte des informations échangées et de la généralité du public susceptible d’être mis en cause, la possibilité, pour le législateur national, d’imposer aux opérateurs de communications électroniques une conservation temporaire mais généralisée des données de connexion pour permettre à l’autorité administrative mentionnée aux articles 11 de la directive et 22 du règlement, lorsqu’apparaissent à l’encontre de certaines personnes des raisons de soupçonner qu’elles sont impliquées dans une opération d’initié ou une manipulation de marché, de se faire remettre, par l’opérateur, les enregistrements existants de données de trafic dans les cas où il existe des raisons de suspecter que ces enregistrements liés à l’objet de l’enquête peuvent se révéler pertinents pour apporter la preuve de la réalité du manquement, en permettant notamment de retracer les contacts noués par les intéressés avant l’apparition des soupçons ?

2) Dans le cas où la réponse de la Cour de justice serait telle qu’elle conduirait la Cour de cassation à considérer que la législation française sur la conservation des données de connexion n’est pas conforme au droit de l’Union, les effets de cette législation pourraient-ils être maintenus provisoirement afin d’éviter une insécurité juridique et de permettre que les données collectées et conservées précédemment soient utilisées dans l’un des buts visés par cette législation ?

3) Une juridiction nationale peut-elle maintenir provisoirement les effets d’une législation permettant aux agents d’une autorité administrative indépendante chargée de mener des enquêtes en matière d’abus de marché d’obtenir, sans contrôle préalable d’une juridiction ou d’une autre autorité administrative indépendante, la communication de données de connexion ?

Moyens

Examen du deuxième moyen

Enoncé du moyen

5. Le moyen est pris de la violation des articles 6 et 8 de la Convention européenne des droits de l’homme, 15 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 dite « Vie privée et communications électroniques » telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009, 7, 8, 11, 52 de la Charte des droits fondamentaux de l’Union européenne, L. 34-1 et R. 10-13 du code des postes et des communications électroniques, L. 621-10 du code monétaire et financier dans sa rédaction issue de la loi n° 2013-672 du 26 juillet 2013, préliminaire, 591 et 593 du code de procédure pénale, ensemble le principe de primauté du droit de l’Union européenne et le principe de loyauté de la preuve.

6. Le moyen critique l’arrêt attaqué en ce qu’il a rejeté le moyen tiré de la non-conformité des articles L. 34-1 du code des postes et des communications électroniques et L. 621-10 du code monétaire et financier à la directive 2002/58/CE du Parlement européen du 12 juillet 2002 et à l’article 8 de la Convention européenne des droits de l’homme, alors :

« 1°/ que selon la Cour de justice de l’Union européenne, « l’article 15, § 1, lu en combinaison avec l’article 3 de la directive 2002/58, doit être interprété en ce sens que relèvent du champ d’application de cette directive, non seulement une mesure législative qui impose aux fournisseurs de services de communications électroniques de conserver les données relatives au trafic et les données de localisation, mais également une mesure législative portant sur l’accès des autorités nationales aux données conservées par ces fournisseurs » (CJUE, 2 oct. 2018, Ministerio Fiscal, aff. C-207/1, § 35) ; que les articles L. 34-1, R. 10-13 du code des postes et des communications électroniques et L. 621-10 du code monétaire et financier prévoient la conservation de données personnelles par les opérateurs de communications électroniques pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales et leur communication aux enquêteurs et contrôleurs de l’Autorité des marchés financiers ; que s’est donc prononcée par des motifs erronés la chambre de l’instruction qui a énoncé que « ces dispositions, qui concernent le domaine du droit pénal, ne relèvent pas du champ d’application de la directive vie privée et communications électroniques » ;

2°/ qu’en énonçant que cette directive n’avait « pas lieu de s’appliquer aux activités de l’Etat dans des domaines relevant du droit pénal ce qui est le cas des dispositions destinées à réprimer les abus de marché, dont le délit d’initié », la chambre de l’instruction s’est prononcée par des motifs inopérants, dès lors qu’était contestée non la conformité à cette directive des dispositions de l’article L. 465-1 du code monétaire et financier qui incrimine le délit d’initié, mais celle des dispositions des articles L. 34-1 du code des postes et des communications électroniques et L. 621-10 du code monétaire et financier ;

3°/ qu’il résulte du principe de primauté du droit de l’Union européenne que les arrêts préjudiciels revêtent un caractère obligatoire à l’égard des juridictions nationales ; qu’a méconnu ce principe la chambre de l’instruction qui, pour retenir que les dispositions internes contestées ne relevaient pas du champ d’application de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002, a écarté l’interprétation de l’article 15, § 1, de cette directive faite par la Cour de justice de l’Union européenne dans son arrêt Sverige du 21 décembre 2016 (aff. jointes C-203/15 et C- 698/15), selon laquelle « ladite disposition présuppose nécessairement que les mesures nationales qui y sont visées, telles que celles relatives à la conservation de données à des fins de lutte contre la criminalité, relèvent du champ d’application de cette même directive » (§ 73), motifs pris « qu’en estimant, dans les motifs de sa décision (point 73) qu’eu égard à l’économie de la directive les mesures législatives de l’article 15 §1 ne sont pas exclues de son champ d’application, la CJUE apparaît ôter leur portée aux dispositions de l’article 1.3 de la directive » ;

4°/ que selon la Cour de justice de l’Union européenne, l’article 15, § 1, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 « s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique » (CJUE, 21 déc. 2016, Tele2 Sverige AB c. Post- och telestyrelsen et [6], aff. jointes C-203/15 et C-698/15) ; qu’il s’ensuit que la législation nationale doit « prévoir des règles claires et précises régissant la portée et l’application d’une telle mesure de conservation des données et imposant un minimum d’exigences » et doit « en particulier indiquer en quelles circonstances et sous quelles conditions une mesure de conservation des données peut, à titre préventif, être prise, garantissant ainsi qu’une telle mesure soit limitée au strict nécessaire » (ibid) ; qu’il est par ailleurs nécessaire que la conservation des données répondent « à des critères objectifs établissant un rapport entre les données à conserver et l’objectif poursuivi » et à des conditions matérielles « de nature à délimiter effectivement l’ampleur de la mesure et, par suite, le public concerné » ; que, dès lors, en refusant d’annuler les données téléphoniques de M. [S] recueillies par l’AMF sur le fondement des articles L. 34-1 et R. 10-13 du code des postes et des communications, lorsque ces textes, qui organisent une conservation généralisée et indifférenciée des données constitutive d’une ingérence grave dans le droit au respect de la vie privée, ne prévoient aucune garantie de nature à limiter la mesure de conservation à un public ou à des données effectivement en lien avec la criminalité grave, la chambre de l’instruction a violé le texte susvisé ;

5°/ que selon la Cour de justice de l’Union européenne, « les mesures législatives visées à l’article 15, § 1, de la directive 2002/58 devant (…) « être subordonnées à des garanties appropriées », une telle mesure doit (…) prévoir des règles claires et précises indiquant en quelles circonstances et sous quelles conditions les fournisseurs de services de communications électroniques doivent accorder aux autorités nationales compétentes l’accès aux données » (CJUE, 21 déc. 2016, Tele2 Sverige AB c. Post-och telestyrelsen et [6], aff. jointes C-203/15 et C-698/15) ; que, dès lors, en refusant d’annuler les données téléphoniques de M. [S] transmises par les opérateurs de téléphonie aux enquêteurs de l’AMF sur le fondement de la seconde phrase de l’article L. 621-10 du code monétaire et financier dans sa rédaction issue de la loi du 26 juillet 2013, lorsque ces dispositions ne fixent aucune limite au droit, pour ces enquêteurs, de se voir communiquer les données conservées et traitées par les opérateurs de télécommunications et ne prévoient aucune « garanties propres à assurer une conciliation équilibrée entre, d’une part, le droit au respect de la vie privée et, d’autre part, la prévention des atteintes à l’ordre public et la recherche des auteurs d’infractions », ainsi que l’a relevé le Conseil constitutionnel qui les a déclarées non conformes à la Constitution (Déc. n° 2017-646/647 QPC du 21 juillet 2017), la chambre de l’instruction a violé l’article 15, § 1, de la directive 2002/58/CE du Parlement européen et du Conseil ;

6°/ qu’en se fondant, pour écarter le moyen tiré de la non-conformité à la directive 2002/58/CE du 12 juillet 2002 des dispositions de l’article L. 621-10 du code monétaire et financier dans sa rédaction issue de la loi du 26 juillet 2013, sur le fait que ce texte réservait à des agents d’une autorité administrative indépendante habilités et soumis au secret professionnel le pouvoir d’obtenir les données téléphoniques conservées par les opérateurs de télécommunications et que cette prérogative n’était assortie d’aucun pouvoir d’exécution forcée, lorsque ces garanties sont insuffisantes pour assurer la stricte nécessité d’une telle ingérence dans le droit au respect de la vie privée de la personne concernée, la chambre de l’instruction n’a pas justifié sa décision ;

7°/ qu’a méconnu son office et s’est prononcée par des motifs hypothétiques impropres à justifier sa décision la chambre de l’instruction qui, après avoir énoncé que la Cour de justice de l’Union européenne « apparaît ôter leur portée aux dispositions de l’article 1.3 de la directive » dans son arrêt Sverige et qu’elle « apparaît évoluer dans son interprétation de l’article 15, § 1, » dans son arrêt ministère public d’Espagne, affirme qu’ « en cet état, demeure une incertitude sur l’interprétation à donner aux dispositions susvisées de la directive vie privée et communications électroniques », sans jamais se prononcer clairement sur le sens et la portée de cette directive dont la méconnaissance était pourtant invoquée devant elle ;

8°/ qu’en jugeant que « la nullité des données téléphoniques obtenues par l’AMF sur le fondement de l’article L. 621-10 du code monétaire et financier n’a pas lieu d’être prononcée au regard de l’interprétation donné par la CJUE à l’article 15, §1, dans l’arrêt « Sverige » après avoir reconnu qu’elle était dans l’incapacité de déterminer « l’interprétation à donner aux dispositions susvisées de la directive vie privée et communications électroniques » invoquée devant elle, la chambre de l’instruction n’a pas justifié sa décision ;

9°/ que toute ingérence d’une autorité publique dans l’exercice du droit au respect de la vie privée doit être prévue par la loi ; que tel n’est pas le cas lorsque la disposition légale dont découle cette ingérence ne respecte pas la législation en vigueur de rang supérieur (CEDH, 29 juin 2006, [W] et [K] c. Allemagne, req. n° 54934/00, § 90) ; que, dès lors, en refusant d’annuler les données téléphoniques de M. [S] conservées par les opérateurs de téléphonie puis transmises par ceux-ci aux enquêteurs de l’AMF sur le fondement des articles L. 34-1 du code des postes et des communications électroniques et L. 621-10 du code monétaire et financier dans sa rédaction issue de la loi du 26 juillet 2013, lorsque ces textes sont contraires aux dispositions de l’article 15, § 1, de la directive 2002/58/CE du 12 juillet 2002 et, s’agissant du second d’entre eux, à la Constitution, ainsi que l’a jugé le Conseil constitutionnel dans sa décision n° 2017-646/647 QPC du 21 juillet 2017, la chambre de l’instruction a méconnu l’article 8 de la Convention européenne des droits de l’homme ;

10°/ que toute ingérence d’une autorité publique dans l’exercice du droit au respect de la vie privée doit être nécessaire et proportionnée ; que la chambre de l’instruction ne pouvait, sans méconnaître l’article 8 de la Convention européenne des droits de l’homme, refuser d’annuler les données téléphoniques de M. [S] lorsque celles-ci avaient été conservées par des opérateurs de téléphonies puis transmises aux enquêteurs de l’AMF sur le fondement de textes internes qui ne prévoient pas de garanties suffisantes pour limiter les abus, en ce qu’ils permettent, comme tel a été le cas en l’espèce, une conservation généralisée et indifférenciée des données personnelles par ces opérateurs ainsi que leur communication aux dits enquêteurs sans restriction, et indépendamment d’un lien avec le but poursuivi. »

Motivation

Réponse de la Cour

Vu l’article 15 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11, ainsi que de l’article 52, § 1, de la Charte des droits fondamentaux de l’Union européenne :

7. En réponse aux questions préjudicielles posées par la Cour de cassation, la CJUE a dit pour droit que :

– l’article 12, § 2, sous a) et d), de la directive 2003/6/CE du Parlement européen et du Conseil, du 28 janvier 2003, sur les opérations d’initiés et les manipulations de marché (abus de marché), et l’article 23, § 2, sous g) et h), du règlement (UE) n° 596/2014 du Parlement européen et du Conseil, du 16 avril 2014, sur les abus de marché (règlement relatif aux abus de marché) et abrogeant la directive 2003/6 et les directives 2003/124/CE, 2003/125/CE et 2004/72/CE de la Commission, lus en combinaison avec l’article 15, § 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, et à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, § 1, de la Charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens qu’ils s’opposent à des mesures législatives prévoyant, à titre préventif, aux fins de la lutte contre les infractions d’abus de marché, dont font partie les opérations d’initiés, une conservation généralisée et indifférenciée des données de trafic pendant un an à compter du jour de l’enregistrement ;

– le droit de l’Union doit être interprété en ce sens qu’il s’oppose à ce qu’une juridiction nationale limite dans le temps les effets d’une déclaration d’invalidité qui lui incombe, en vertu du droit national, à l’égard des dispositions nationales qui, d’une part, imposent aux opérateurs de services de communications électroniques une conservation généralisée et indifférenciée des données relatives au trafic et, d’autre part, permettent la communication de telles données à l’autorité compétente en matière financière, sans autorisation préalable d’une juridiction ou d’une autorité administrative indépendante, en raison de l’incompatibilité de ces dispositions avec l’article 15, § 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière de la Charte des droits fondamentaux de l’Union européenne ;

– l’admissibilité des éléments de preuve obtenus en application des dispositions législatives nationales incompatibles avec le droit de l’Union relève, conformément au principe d’autonomie procédurale des Etats membres, du droit national, sous réserve du respect, notamment, des principes d’équivalence et d’effectivité (CJUE, arrêt du 20 septembre 2022, C-339/20 et C-397/20).

8. La CJUE constate que la directive « vie privée et communications électroniques » constitue l’acte de référence en matière de conservation et, de manière plus générale, de traitement des données à caractère personnel dans le secteur des communications électroniques. Dès lors, son interprétation régit les enregistrements des données de trafic détenus par les opérateurs de services de communications électroniques que les autorités compétentes en matière financière, au sens de la directive et du règlement relatifs aux abus de marché, peuvent se faire remettre par ces opérateurs.

9. Elle en déduit que l’appréciation de la licéité du traitement des enregistrements détenus par ces mêmes opérateurs doit s’effectuer à la lumière des conditions prévues par la directive « vie privée et communications électroniques », telle qu’elle l’a interprétée (arrêt précité, §§ 79 et 82).

10. En conséquence, la conformité aux exigences du droit de l’Union européenne des dispositions permettant aux enquêteurs de l’AMF de recueillir, auprès des opérateurs de communications électroniques, des données de connexion conservées par ceux-ci doit être appréciée au regard des principes dégagés par la Cour de cassation (Crim., 12 juillet 2022, pourvoi n° 21-83.710, publié au Bulletin), en application des dispositions de l’article 15 de la directive « vie privée et communications électroniques » (CJUE, arrêt du 21 décembre 2016, Tele2 Sverige AB, C-203/15 ; CJUE, arrêt du 6 octobre 2020, [5]., [3] e.a, C-511/18, C-512/18, C-520/18 ; CJUE, arrêt du 2 mars 2021, [4], C-746/18 ; CJUE, arrêt du 5 avril 2022, [2], C-140/20).

11. Ainsi, doivent être écartés, comme contraires au droit de l’Union européenne, l’article L. 34-1, III, du code des postes et communications électroniques, dans sa version issue de la loi n° 2013-1168 du 18 décembre 2013, ainsi que l’article R. 10-13 dudit code, en ce qu’ils imposaient aux opérateurs de services de communications électroniques une conservation généralisée et indifférenciée, à titre préventif, des données de trafic et de localisation notamment aux fins de lutte contre les abus de marché, quel que soit leur degré de gravité.

12. En revanche, dès lors que le droit de l’Union européenne admet la conservation généralisée et indifférenciée des données de connexion aux fins de sauvegarde de la sécurité nationale, est conforme au droit de l’Union l’obligation faite aux opérateurs de communications électroniques de conserver ces données de manière généralisée et indifférenciée en raison de la menace grave, réelle et actuelle ou prévisible à laquelle la France se trouve exposée depuis décembre 1994, du fait du terrorisme et de l’activité de groupes radicaux et extrémistes.

13. Par ailleurs, le droit de l’Union européenne, qui autorise la délivrance d’une injonction tendant à la conservation rapide des données relatives au trafic et des données de localisation stockées par les opérateurs, soit pour leurs besoins propres, soit au titre d’une obligation de conservation imposée aux fins de sauvegarde de la sécurité nationale, permet d’accéder auxdites données pour l’élucidation d’une infraction pénale déterminée relevant de la criminalité grave. Une telle mesure de conservation rapide peut être ordonnée dès le premier stade d’une enquête, serait-elle administrative, portant sur un éventuel acte de criminalité grave, tant lorsque cet acte a déjà pu être constaté que lorsque son existence peut, au terme d’un examen objectif de l’ensemble des circonstances pertinentes, être raisonnablement soupçonnée.

14. En application de ces principes, les demandes adressées, en exécution des dispositions de l’article L. 621-10 du code monétaire et financier, dans sa version applicable au litige, par les enquêteurs de l’AMF, pour les strictes nécessités d’une enquête déterminée portant sur un abus de marché relevant de la criminalité grave, aux opérateurs de communications électroniques, peuvent être interprétées comme valant injonction de conservation rapide.

15. Toutefois, ainsi qu’il a été jugé par l’arrêt susvisé du 1er avril 2020, la faculté offerte aux enquêteurs de l’AMF d’obtenir des données de connexion sans contrôle préalable par une juridiction ou une autre autorité administrative indépendante n’est pas conforme aux exigences du droit de l’Union.

16. Il appartient alors à la juridiction saisie d’un moyen de nullité critiquant la régularité de l’accès des enquêteurs de l’AMF aux données de connexion, dans l’hypothèse où le requérant a intérêt et qualité pour agir, de vérifier l’existence du grief allégué, laquelle est établie lorsque les éléments de fait justifiant la nécessité d’une telle mesure d’investigation ne répondent pas à un critère de gravité suffisant ou lorsque la conservation rapide desdites données et l’accès à celles-ci excèdent les limites du strict nécessaire.

17. S’agissant de la gravité des faits, il appartient encore à la juridiction de motiver sa décision au regard de la nature des agissements de la personne concernée, de l’importance du dommage qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue.

18. Dans cette appréciation, les juges peuvent se référer aux critères figurant au considérant 11 de la directive 2014/57/UE du Parlement européen et du Conseil du 16 avril 2014 relative aux sanctions pénales applicables aux abus de marché, parmi lesquels l’incidence sur l’intégrité du marché, le bénéfice réel ou potentiel engrangé ou la perte évitée, l’importance du préjudice causé au marché ou la valeur globale des instruments financiers négociés, ainsi que la commission de l’infraction dans le cadre d’une organisation criminelle.

19. En l’espèce, l’arrêt attaqué énonce, en substance, que ni l’article L. 34-1, III, du code des postes et des communications électroniques, ni l’article L. 621-10 du code monétaire et financier n’apparaissent contraires à l’article 15, § 1, de la directive « vie privée et communications électroniques ».

20. Les juges ajoutent que l’article 23, § 1, h) du règlement relatif aux abus de marché permet aux autorités compétentes de se faire remettre les données relatives au trafic lorsqu’il existe des raisons de suspecter une violation.

21. Ils concluent qu’aucune nullité ne saurait résulter de l’application de dispositions conformes à un règlement européen.

22. En prononçant ainsi, la chambre de l’instruction, à laquelle il appartenait de se livrer au contrôle énoncé aux §§ 16 à 18, a méconnu l’article susvisé et les principes sus-énoncés.

23. La cassation est dès lors encourue de ce chef.

Dispositif

PAR CES MOTIFS, la Cour :

CASSE et ANNULE l’arrêt susvisé de la chambre de l’instruction de la cour d’appel de Paris, en date du 7 mars 2019, mais en ses seules dispositions ayant rejeté le moyen de nullité relatif aux données de connexion téléphoniques transmises par l’AMF, toutes autres dispositions étant expressément maintenues ;

Et pour qu’il soit à nouveau statué, conformément à la loi, dans les limites de la cassation ainsi prononcée,

RENVOIE la cause et les parties devant la chambre de l’instruction de la cour d’appel de Paris, autrement composée, à ce désignée par délibération spéciale prise en chambre du conseil ;

ORDONNE l’impression du présent arrêt, sa transcription sur les registres du greffe de la chambre de l’instruction de la cour d’appel de Paris et sa mention en marge ou à la suite de l’arrêt partiellement annulé ;

Ainsi fait et jugé par la Cour de cassation, chambre criminelle, et prononcé par le président en son audience publique du dix mai deux mille vingt-trois.

Laisser un commentaire

Your email address will not be published.

Please fill the required fields*