Livv
Décisions

Cass. crim., 10 mai 2023, n° 19-82.221

COUR DE CASSATION

Arrêt

Cassation

COMPOSITION DE LA JURIDICTION

Président :

M. Bonnal

Rapporteur :

Mme Thomas

Avocat général :

M. Petitprez

Avocats :

SCP Célice, Texidor, Périer, SCP Foussard et Froger, SCP Piwnica et Molinié, SCP Spinosi

Paris, du 7 mars 2019

7 mars 2019


Faits et procédure

1. Il résulte de l'arrêt attaqué et des pièces de la procédure ce qui suit.

2. Mis en examen le 27 novembre 2017 du chef susvisé se rapportant à des opérations suspectes ayant affecté le titre [2] courant 2015, M. [G] [L] a présenté une requête en annulation de pièces de la procédure, relatives, en particulier, au recueil de données de connexion téléphoniques par les agents de l'Autorité des marchés financiers (AMF) au cours d'une enquête administrative.

3. Par arrêt du 7 mars 2019, la chambre de l'instruction a rejeté la requête.

4. Par arrêt du 1er avril 2020, la Cour de cassation a déclaré non-admis les cinquième et sixième moyens, rejeté les premier, deuxième, quatrième et septième moyens et, s'agissant du troisième, relatif aux données de connexion, a, d'une part, énoncé que c'est à tort que la chambre de l'instruction a retenu que M. [L] n'a subi aucun grief comme ayant été mis en cause seulement à partir d'une demande d'entraide internationale adressée aux autorités luxembourgeoises alors que son nom est mentionné dans les données de connexion litigieuses, d'autre part, en l'état des questions préjudicielles posées à la Cour de justice de l'Union européenne (CJUE) dans d'autres pourvois, sursis à statuer jusqu'à la décision de celle-ci.

5. Les questions préjudicielles posées dans les pourvois n° 19-80.908 et n° 19-82.223 sont les suivantes :

1) L'article 12, § 2, points a) et d) de la directive 2003/6/CE du Parlement européen et du Conseil du 28 janvier 2003 sur les opérations d'initiés et les manipulations de marché, de même que l'article 23, § 2, points g) et h) du règlement (UE) 596/2014 du Parlement et du Conseil du 16 avril 2014 sur les abus de marché, qui s'est substitué au premier à compter du 3 juillet 2016, lu à la lumière du considérant 65 de ce règlement, n'impliquent-ils pas, compte tenu du caractère occulte des informations échangées et de la généralité du public susceptible d'être mis en cause, la possibilité, pour le législateur national, d'imposer aux opérateurs de communications électroniques une conservation temporaire mais généralisée des données de connexion pour permettre à l'autorité administrative mentionnée aux articles 11 de la directive et 22 du règlement, lorsqu'apparaissent à l'encontre de certaines personnes des raisons de soupçonner qu'elles sont impliquées dans une opération d'initié ou une manipulation de marché, de se faire remettre, par l'opérateur, les enregistrements existants de données de trafic dans les cas où il existe des raisons de suspecter que ces enregistrements liés à l'objet de l'enquête peuvent se révéler pertinents pour apporter la preuve de la réalité du manquement, en permettant notamment de retracer les contacts noués par les intéressés avant l'apparition des soupçons ?

2) Dans le cas où la réponse de la Cour de justice serait telle qu'elle conduirait la Cour de cassation à considérer que la législation française sur la conservation des données de connexion n'est pas conforme au droit de l'Union, les effets de cette législation pourraient-ils être maintenus provisoirement afin d'éviter une insécurité juridique et de permettre que les données collectées et conservées précédemment soient utilisées dans l'un des buts visés par cette législation ?

3) Une juridiction nationale peut-elle maintenir provisoirement les effets d'une législation permettant aux agents d'une autorité administrative indépendante chargée de mener des enquêtes en matière d'abus de marché d'obtenir, sans contrôle préalable d'une juridiction ou d'une autre autorité administrative indépendante, la communication de données de connexion ?

Examen du troisième moyen

Enoncé du moyen

6. Le moyen est pris de la violation des articles 5 de la directive n° 2002/58/CE du 12 juillet 2002, 8 de la Convention européenne de sauvegarde des droits de l'homme, L. 621-10 du code monétaire et financier, 591 et 593 du code de procédure pénale.

7. Le moyen critique l'arrêt attaqué en ce qu'il a débouté M. [L] de sa requête à fin d'annulation de pièces de la procédure, alors :

« 1°/ d'une part, que le dispositif de communication des données de connexion organisé par l'article L. 621-10 du code monétaire et financier n'est pas assorti, tant en ce qui concerne le contrôle préalable des opérations que leur déroulement, des garanties propres à assurer une conciliation équilibrée entre d'une part le droit au respect de la vie privée et d'autre part la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions ; qu'au cas d'espèce, s'est contredite la Cour qui pour dire la procédure régulière, a affirmé que les éléments mettant en cause Monsieur [L] ne reposaient « sur aucune analyse des données téléphoniques recueillies par l'AMF dans le cadre de l'enquête relative au marché du titre [3] ou d'interceptions téléphoniques ordonnées à la suite de l'exploitation de ces données » après avoir elle-même constaté qu'à la suite de l'ordonnance de disjonction du 22 décembre 2015, le juge d'instruction avait versé au dossier de la procédure [2] / [1] une note de l'AMF analysant « les réquisitions aux opérateurs téléphoniques réalisés par cette autorité » et un CDROM « comportant les réponses des opérateurs requis, des actes d'exécution partielle des commissions rogatoires techniques relatives à plusieurs lignes de téléphonie » ;

2°/ d'autre part, que dénature les pièces du dossier et notamment la cote D 6/4 la Cour qui, pour écarter le moyen de nullité tiré des conditions de recueil des données de connexion de Monsieur [L], énonce que la mise en cause de ce dernier est fondée sur les résultats de la demande d'entraide internationale adressée aux autorités luxembourgeoises, quand il ressort de la procédure que Monsieur [L] a été mis en cause par des signalements de l'AMF des 22 juillet 2014, 30 octobre 2014, 23 septembre 2015 et 5 octobre 2015 et par le réquisitoire supplétif du 22 décembre 2015 au vu desquels que le juge d'instruction a saisi les autorités luxembourgeoises d'une demande d'entraide le 22 septembre 2016. »

Réponse de la Cour

Vu l'article 15 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11, ainsi que de l'article 52, § 1, de la Charte des droits fondamentaux de l'Union européenne :

8. En réponse aux questions préjudicielles posées par la Cour de cassation, la CJUE a dit pour droit que :

- l'article 12, § 2, sous a) et d), de la directive 2003/6/CE du Parlement européen et du Conseil, du 28 janvier 2003, sur les opérations d'initiés et les manipulations de marché (abus de marché), et l'article 23, § 2, sous g) et h), du règlement (UE) n° 596/2014 du Parlement européen et du Conseil, du 16 avril 2014, sur les abus de marché (règlement relatif aux abus de marché) et abrogeant la directive 2003/6 et les directives 2003/124/CE, 2003/125/CE et 2004/72/CE de la Commission, lus en combinaison avec l'article 15, § 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, et à la lumière des articles 7, 8 et 11 ainsi que de l'article 52, § 1, de la Charte des droits fondamentaux de l'Union européenne, doivent être interprétés en ce sens qu'ils s'opposent à des mesures législatives prévoyant, à titre préventif, aux fins de la lutte contre les infractions d'abus de marché, dont font partie les opérations d'initiés, une conservation généralisée et indifférenciée des données de trafic pendant un an à compter du jour de l'enregistrement ;

- le droit de l'Union doit être interprété en ce sens qu'il s'oppose à ce qu'une juridiction nationale limite dans le temps les effets d'une déclaration d'invalidité qui lui incombe, en vertu du droit national, à l'égard des dispositions nationales qui, d'une part, imposent aux opérateurs de services de communications électroniques une conservation généralisée et indifférenciée des données relatives au trafic et, d'autre part, permettent la communication de telles données à l'autorité compétente en matière financière, sans autorisation préalable d'une juridiction ou d'une autorité administrative indépendante, en raison de l'incompatibilité de ces dispositions avec l'article 15, § 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière de la Charte des droits fondamentaux de l'Union européenne ;

- l'admissibilité des éléments de preuve obtenus en application des dispositions législatives nationales incompatibles avec le droit de l'Union relève, conformément au principe d'autonomie procédurale des Etats membres, du droit national, sous réserve du respect, notamment, des principes d'équivalence et d'effectivité (CJUE, arrêt du 20 septembre 2022, C-339/20 et C-397/20).

9. La CJUE constate que la directive « vie privée et communications électroniques » constitue l'acte de référence en matière de conservation et, de manière plus générale, de traitement des données à caractère personnel dans le secteur des communications électroniques. Dès lors, son interprétation régit les enregistrements des données de trafic détenus par les opérateurs de services de communications électroniques que les autorités compétentes en matière financière, au sens de la directive et du règlement relatifs aux abus de marché, peuvent se faire remettre par ces opérateurs.

10. Elle en déduit que l'appréciation de la licéité du traitement des enregistrements détenus par ces mêmes opérateurs doit s'effectuer à la lumière des conditions prévues par la directive « vie privée et communications électroniques », telle qu'elle l'a interprétée (arrêt précité, §§ 79 et 82).

11. En conséquence, la conformité aux exigences du droit de l'Union européenne des dispositions permettant aux enquêteurs de l'AMF de recueillir, auprès des opérateurs de communications électroniques, des données de connexion conservées par ceux-ci doit être appréciée au regard des principes dégagés par la Cour de cassation (Crim., 12 juillet 2022, pourvoi n° 21-83.710, publié au Bulletin), en application des dispositions de l'article 15 de la directive « vie privée et communications électroniques » (CJUE, arrêt du 21 décembre 2016, Tele2 Sverige AB, C-203/15 ; CJUE, arrêt du 6 octobre 2020, La Quadrature du Net e.a., French Data Network e.a, C-511/18, C-512/18, C-520/18 ; CJUE, arrêt du 2 mars 2021, H.K./Prokuratuur, C-746/18 ; CJUE, arrêt du 5 avril 2022, Commissioner of An Garda Siochana, C-140/20).

12. Ainsi, doivent être écartés, comme contraires au droit de l'Union européenne, l'article L. 34-1, III, du code des postes et communications électroniques, dans sa version issue de la loi n° 2013-1168 du 18 décembre 2013, ainsi que l'article R. 10-13 dudit code, en ce qu'ils imposaient aux opérateurs de services de communications électroniques une conservation généralisée et indifférenciée, à titre préventif, des données de trafic et de localisation notamment aux fins de lutte contre les abus de marché, quel que soit leur degré de gravité.

13. En revanche, dès lors que le droit de l'Union européenne admet la conservation généralisée et indifférenciée des données de connexion aux fins de sauvegarde de la sécurité nationale, est conforme au droit de l'Union l'obligation faite aux opérateurs de communications électroniques de conserver ces données de manière généralisée et indifférenciée en raison de la menace grave, réelle et actuelle ou prévisible à laquelle la France se trouve exposée depuis décembre 1994, du fait du terrorisme et de l'activité de groupes radicaux et extrémistes.

14. Par ailleurs, le droit de l'Union européenne, qui autorise la délivrance d'une injonction tendant à la conservation rapide des données relatives au trafic et des données de localisation stockées par les opérateurs, soit pour leurs besoins propres, soit au titre d'une obligation de conservation imposée aux fins de sauvegarde de la sécurité nationale, permet d'accéder auxdites données pour l'élucidation d'une infraction pénale déterminée relevant de la criminalité grave. Une telle mesure de conservation rapide peut être ordonnée dès le premier stade d'une enquête, serait-elle administrative, portant sur un éventuel acte de criminalité grave, tant lorsque cet acte a déjà pu être constaté que lorsque son existence peut, au terme d'un examen objectif de l'ensemble des circonstances pertinentes, être raisonnablement soupçonnée.

15. En application de ces principes, les demandes adressées, en exécution des dispositions de l'article L. 621-10 du code monétaire et financier, dans sa version applicable au litige, par les enquêteurs de l'AMF, pour les strictes nécessités d'une enquête déterminée portant sur un abus de marché relevant de la criminalité grave, aux opérateurs de communications électroniques, peuvent être interprétées comme valant injonction de conservation rapide.

16. Toutefois, ainsi que l'a jugé la Cour de cassation (Crim., 1er avril 2020, pourvoi n° 19-80.908), la faculté offerte aux enquêteurs de l'AMF d'obtenir des données de connexion sans contrôle préalable par une juridiction ou une autre autorité administrative indépendante n'est pas conforme aux exigences du droit de l'Union.

17. Il appartient alors à la juridiction saisie d'un moyen de nullité critiquant la régularité de l'accès des enquêteurs de l'AMF aux données de connexion, dans l'hypothèse où le requérant a intérêt et qualité pour agir, de vérifier l'existence du grief allégué, laquelle est établie lorsque les éléments de fait justifiant la nécessité d'une telle mesure d'investigation ne répondent pas à un critère de gravité suffisant ou lorsque la conservation rapide desdites données et l'accès à celles-ci excèdent les limites du strict nécessaire.

18. S'agissant de la gravité des faits, il appartient encore à la juridiction de motiver sa décision au regard de la nature des agissements de la personne concernée, de l'importance du dommage qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue.

19. Dans cette appréciation, les juges peuvent se référer aux critères figurant au considérant 11 de la directive 2014/57/UE du Parlement européen et du Conseil du 16 avril 2014 relative aux sanctions pénales applicables aux abus de marché, parmi lesquels l'incidence sur l'intégrité du marché, le bénéfice réel ou potentiel engrangé ou la perte évitée, l'importance du préjudice causé au marché ou la valeur globale des instruments financiers négociés, ainsi que la commission de l'infraction dans le cadre d'une organisation criminelle.

20. En l'espèce, l'arrêt attaqué énonce que la mise en cause de M. [L] ne repose sur aucune analyse des données téléphoniques recueillies par l'AMF, mais sur les résultats d'une demande d'entraide pénale internationale adressées aux autorités luxembourgeoises, ainsi que sur les déclarations d'une autre personne.

21. Les juges en concluent que le requérant n'a subi aucun grief pris d'une prétendue inconventionnalité au regard, notamment, du droit de l'Union, des dispositions de l'article L. 621-10 du code monétaire et financier.

22. En prononçant ainsi, la chambre de l'instruction, à laquelle il appartenait, d'une part, de constater l'intérêt et la qualité pour agir de M. [L] en nullité des données de connexion téléphoniques recueillies par l'AMF, d'autre part, de se livrer au contrôle énoncé aux §§ 17 à 19, a méconnu l'article susvisé et les principes sus-énoncés.

23. La cassation est dès lors encourue de ce chef.

PAR CES MOTIFS, la Cour :

CASSE et ANNULE l'arrêt susvisé de la chambre de l'instruction de la cour d'appel de Paris, en date du 7 mars 2019, mais en ses seules dispositions ayant rejeté le moyen de nullité relatif aux données de connexion téléphoniques transmises par l'AMF, toutes autres dispositions étant expressément maintenues ;

Et pour qu'il soit à nouveau statué, conformément à la loi, dans les limites de la cassation ainsi prononcée,

RENVOIE la cause et les parties devant la chambre de l'instruction de la cour d'appel de Paris, autrement composée, à ce désignée par délibération spéciale prise en chambre du conseil ;

ORDONNE l'impression du présent arrêt, sa transcription sur les registres du greffe de la chambre de l'instruction de la cour d'appel de Paris et sa mention en marge ou à la suite de l'arrêt partiellement annulé.