Chronique : Droit Financier

Synthèse sur le rôle des conventions internationales dans la coopération entre autorités de régulation et la protection des données

La coopération internationale entre autorités de régulation apparaît comme l’outil central permettant de lutter contre les abus de marché dans un contexte financier international. Existant de longue date, la matière souffre néanmoins d’un cadre incertain récemment complexifié avec l’entrée en vigueur du règlement relatif à la protection des données personnelles dit « RGPD ». La clarification se fait progressivement, dans l’attente espérée d’une refonte du Code monétaire et financier sur ce point. Deux évolutions récentes sont à relever. D’une part, l’AEMF a remis à la Commission européenne un projet de convention-type pour la coopération internationale incluant les garanties requises par le RGPD au transfert de données personnelles à l’étranger. D’autre part, la Cour de cassation a précisé le champ d’application des articles L. 632-7 et L. 632-16 du Code monétaire et financier en soulignant que les contraintes posées par ces textes (existence d’une convention de coopération ou, à défaut, exigence de réciprocité) ne s’appliquent pas en cas de réception d’informations depuis l’étranger.

Communication ESMA70-145-457 du 8 octobre 2019, « Draft Regulatory Technical Standards on cooperation arrangements under Regulation (EU) No 596/2014 on market abuse » ; Com., 2 oct. 2019, n° 17-28462.

 

L'auteur

Pour en savoir plus

Pièce jointe

Revue de l'article

La coopération internationale entre autorités de régulation ne cesse de se renforcer dans un contexte toujours plus globalisé. La multiplication des entités de supervision et des normes applicables se conjugue avec la multiplication d’opérations financières présentant un caractère d’extranéité et appelle à un renforcement de la coopération internationale entre autorités. En l’absence d’un cadre international défini, les autorités disposant de compétences aux contours incertains recourent à une coopération internationale reposant sur des conventions bilatérales ou multilatérales[1].

C’est principalement sous l’angle de l’usage des preuves obtenues par des autorités de régulation étrangères que s’est focalisé le contentieux[2]. Le régime qui en découle peut être résumé ainsi : d’une part, l’enquête et le recueil des preuves sont réalisés conformément aux règles internes de l’autorité requise, si bien qu’en cas de recueil de preuves à l’étranger, les règles procédurales du droit interne français ne sont pas invocables par le mis en cause. D’autre part, et par exception, le respect du principe de loyauté au stade de l’enquête et des droits de la défense au stade contentieux impose une appréciation de la procédure étrangère à l’aune des droits de la défense tels qu’interprétés par le système juridique français. Néanmoins, le contentieux peut aussi mobiliser en amont le droit international public pour s’intéresser à la question du simple droit, pour une autorité de régulation, de recevoir ou de transmettre des informations à une autorité étrangère et de recevoir de telles autorités des éléments de preuve.

La question est plus simple, mais l’évolution du cadre réglementaire concernant les données personnelles impacte évidemment l’échange de données et nécessite une synthèse concernant le rôle et le contenu des conventions internationales de supervision. Deux textes peuvent être mobilisés. D’une part, la proposition de l’AEMF à la Commission européenne, prise sur le fondement de l’article 26 du règlement concernant les abus de marché[3] (« MAR »), a établi un modèle de convention utilisable par les autorités de contrôle nationales et intégrant les exigences relatives à la protection des données personnelles. D’autre part, la Cour de cassation, dans un arrêt du 2 octobre 2019 qui vient clore l’affaire Geodis, a clarifié la règle relative à l’échange d’informations hors convention par les autorités de régulation.

Ainsi, le droit conventionnel international tend à se normaliser et apparaît l’outil majeur de la coopération international (I.). Néanmoins, l’absence d’une convention n’interdit pas toute coopération internationale (II.).

I. La normalisation conventionnelle de la coopération internationale

L’article 26 du règlement concernant les abus de marché recommande aux autorités de régulation de conclure des conventions avec les autorités des pays-tiers, hors EEE, en vue de l’échange d’informations, aux fins de renforcer le contrôle et la sanction des abus de marché. Afin de favoriser cette coopération, l’article 26 dudit règlement missionne l’AEMF de l’établissement de normes techniques proposées à la Commission qui doit les adopter.

L’AEMF précise toutefois que son rôle apparaît subsidiaire en raison du Multilateral Memorandum of Understanding de l’OICV (ci-après « MoU »)[4] qui a été mis en place à la suite des attentats du 11 septembre 2001 et depuis lors signé par un nombre important d’autorités de régulation et par toutes les autorités européennes[5]. Dès lors, l’approche de l’AEMF est modulaire et cette dernière offre un modèle de contrat grâce auquel les autorités peuvent compléter le MoU dès lors qu’elles jugent qu’il est nécessaire d’avancer dans la collaboration avec les autorités de pays-tiers, conformément à l’article 26 de MAR.

Le modèle ainsi proposé repose en grande partie sur le MoU, à savoir un principe d’échange d’informations limité par des hypothèses déterminées de refus qui reposent soit sur l’absence de fondement procédural[6], soit sur les atteintes portées aux intérêts protégés par l’autorité[7]. De même, le modèle impose une description précise de la nature des informations transmises, afin de limiter les Fishing Expéditions[8], et des conditions de cette transmission, en particulier en termes de confidentialité.

On voit ainsi que la proposition faite par l’AEMF demeure minimale et son utilité relative, en raison de l’existence du MoU. Néanmoins, un domaine central est abordé par la suite, justifiant par ailleurs la prorogation du délai initialement imposé à l’AEMF par MAR en raison de l’adoption du Règlement relatif à la protection des données personnelles[9] (« RGPD ») et permettant d’encadrer le transfert de données personnelles dans le cadre de la coopération. Sur ce point, la construction d’un cadre conforme aux exigences européennes est bien moins aboutie.

La protection des données mise en place par le RGPD nécessite en effet la mise en place de modalités particulières de transfert d’informations, dès lors que ces informations portent sur des données personnelles. Là aussi, l’approche adoptée par l’AEMF est complémentaire puisqu’elle constate qu’un certain nombre d’États membres de l’EEE ont signé un accord pour le transfert de données avec des États hors EEE[10]. Cet accord, coordonné par l’OICV, a reçu un avis positif de la nouvelle autorité de régulation des données personnelles en Europe, le Comité européen de la protection des données (ci-après « CEPD ») ou encore European Data Protection Board qui a rendu, concernant cet accord, un avis de conformité aux exigences du RGPD[11].

Dès lors, les autorités signataires, incluant l’AMF en France, bénéficient d’accords conformes aux exigences du RGPD. Le modèle proposé par l’AEMF sera ainsi utile aux autorités des États membres de l’EEE qui n’ont pas signé cet arrangement. De même, les signataires pourront s’appuyer sur ce modèle en cas de coopération avec une autorité de régulation d’un pays-tiers non-signataire de l’accord. Le modèle ainsi proposé revêt une importance majeure au regard du RGPD puisqu’en l’absence d’une décision d’adéquation par la Commission européenne[12], le transfert de données personnelles à des autorités de pays-tiers est subordonné à la conclusion d’une convention ad hoc permettant aux usagers de bénéficier de droits opposables et effectifs concernant leurs données[13]. Les garanties proposées constituent, selon les termes mêmes de l’AEMF, une « base » pour l’établissement de ces conventions de transfert des données, base qui peut donc être renforcée mais non réduite[14]. Il semblerait donc ici que l’approche modulaire soit abandonnée ce qui s’explique parfaitement en matière de protection des données personnelles dont l’environnement de régulation est en cours de construction.

Il faut enfin relever que même en l’absence de décision d’adéquation et de convention, un échange d’informations demeure possible dans l’un des cas dérogatoires prévus à l’article 49 du RGPD. Ces cas reposent essentiellement sur la preotection des droits et intérêts des titulaires de données si bien que ces hypothèses seront le plus souvent écartées puisque le transfert d’informations repose sur la lutte contre les abus de marché et donc contre les intérêts des titulaires. Dès lors, seule la dérogation reposant sur un « transfert nécessaire pour des motifs importants d’intérêt public »[15] apparaît invocable. Les termes employés et le caractère restrictif de l’article 49 du RGPD conjugué à l’interprétation stricte d’une exception au principe de non-transfert impose de limiter l’emploi de cette dérogation aux affaires les plus sensibles et présentant un caractère systémique.

La coopération internationale est essentielle en matière de lutte contre les abus de marché, étant donné le caractère souvent international des opérations incriminées. Le recours à des conventions multilatérales est fortement encouragé et joue un rôle préventif important, en particulier dans un domaine consensuel comme celui de la lutte contre la criminalité financière. Si la signature de tels accords aplanit de nombreuses difficultés, les autorités disposent néanmoins toujours d’une marge de manœuvre en matière de coopération qui n’impose pas toujours la signature de tels accords, comme l’a illustré récemment la Cour de cassation.

II. Les pouvoirs de l’AMF et de l’ACPR en matière d’échange d’informations hors convention

L’arrêt du 2 octobre 2019 valide la position prise par la Commission des sanctions de l’Autorité des marchés financiers en ce qui concerne le droit, pour cette dernière, de demander des informations à un homologue étranger en l’absence de convention[16]. Les faits sont connus : peu de temps avant le lancement de l’offre publique amicale de SNCF participations, actionnaire principal de Geodis, sur les titres de cette dernière, les services de l’AMF ont constaté des mouvements anormaux sur les titres Geodis. L’enquête a relevé que l’un des employés de la banque tête de file de l’OPA avait transmis l’information privilégiée à l’un de ses proches qui en avait fait usage. L’enquête avait toutefois nécessité l’obtention d’informations de la part de certaines autorités libanaises. Les mis en cause avaient alors demandé l’annulation de la procédure en s’appuyant sur les articles L. 632-7 et L. 632-16 du Code monétaire et financier ainsi que sur la loi dite « de blocage » qui peut interdire, dans certaines circonstances, le transfert d’informations à des autorités étrangères[17]. Ces deux articles régissent, en droit français, le cadre de la coopération internationale. Le premier pose un principe : la coopération suppose la conclusion de conventions avec les autorités étrangères et il est donné, à cette fin, pouvoir à l’AMF et à l’ACPR de conclure de telles conventions. Le second texte, par exception, autorise l’AMF à coopérer avec les autorités étrangères même en l’absence d’accord sous réserve de réciprocité.

Sur la base de ces textes, la Commission des sanctions avait déduit qu’il était possible de mettre en place une coopération internationale même en l’absence d’accord avec une autorité étrangère. L’analyse de la Commission des sanctions était toutefois incomplète puisqu’elle passait sous silence, appliquée à l’espèce, l’exigence de réciprocité imposée à l’article L. 632-16 du Code monétaire et financier.

La procédure a mobilisé les plus hautes autorités puisqu’elle visait à la fois un professionnel du marché et un investisseur. Le premier, soumis au droit disciplinaire, a exercé un recours devant le Conseil d’État qui s’est ainsi prononcé par décision du 16 avril 2016[18]. Le second a exercé ses recours devant la Cour d’appel de Paris puis s’est pourvu en cassation permettant à la Cour de cassation de rendre ladite décision.

Les deux décisions sont inégales. Si le Conseil d’État valide l’analyse de l’AMF en ce qui concerne la possibilité de recevoir des informations[19], il n’aborde pas la question de l’application des articles L. 632-7 et L. 632-16 imposant une réciprocité entre autorités de régulation. Or, c’est une question centrale de l’aspect procédural du contentieux. Dit autrement : l’article L. 632-16 du Code monétaire et financier est-il applicable à la fois au transfert de données et d’informations vers l’étranger et à la réception de ces mêmes données depuis l’étranger ? La réponse de la Cour de cassation s’avère plus précise que le Conseil d’État sur ce point. En effet, la Cour précise bien que « [les] articles L. 632-7 et L. 632-16 du Code monétaire et financier ne régissent pas les modalités de recueil d’informations reçues de l’étranger mais seulement celles de la transmission d’informations à l’étranger et ne font pas obstacle à ce que l’AMF utilise, pour les besoins d’une enquête dont elle a la responsabilité, des informations obtenues d’autorités étrangères en dehors de tout accord de coopération préalable ». Faisant ici une lecture attentive du texte, la Cour de cassation relève bien en effet que l’article L. 632-16 du Code monétaire et financier ne gouverne que le transfert à l’étranger d’informations et toute autre forme de coopération plus poussée. Elle écarte donc l’application de l’article L. 632-16 susmentionné en cas de seul recueil d’informations provenant de l’étranger. Dès lors, tant qu’il n’y a pas eu de transmission d’informations depuis la France vers l’étranger, l’AMF est déliée à la fois de l’exigence de conclure une convention internationale et de celle de vérifier l’existence d’une réciprocité entre elle et l’autorité de régulation concernée, ce qui facilite grandement sa mission.

Plusieurs points doivent être mentionnés en guise de conclusion, au regard de l’évolution de l’environnement normatif. D’une part, la solution de la Cour de cassation paraît transposable à l’ACPR. En effet, la Cour écarte les articles du Code monétaire et financier qui restreignent les pouvoirs de l’AMF. Or ces textes sont soit communs à l’ACPR (art. L. 632-7), soit équivalent à une disposition propre à l’ACPR (art. L. 632-15 du Code monétaire et financier). Cette solution est donc transposable à l’ACPR par analogie. D’autre part, les informations ainsi obtenues peuvent être utilisées par les autorités de régulation si tant est que les organes de sanction des régulateurs s’assurent du respect du principe de loyauté de l’enquête et du respect des droits de la défense au stade contentieux. Enfin, la question de l’avenir même de l’article L. 632-16 du Code monétaire et financier doit être posée. Autorisant la coopération et le transfert d’informations à l’étranger hors convention, cet article se heurte néanmoins aux restrictions issues du RGPD qui imposent la conclusion de conventions d’échanges de données personnelles. Il ne garderait qu’une utilité marginale en cas d’invocation de l’exception posée à l’article 49 du RGPD, c’est-à-dire en cas « de motifs importants d’intérêt public ».

Le recours à des conventions de coopération permet de clarifier les rapports entre autorités requérantes et requises dans le cadre de la coopération internationale. On peut regretter que ce régime conventionnel demeure imparfait et en construction mais l’existence de l’OICV et la volonté nette de la communauté des États de lutter contre les abus de marché devraient renforcer la coopération en usant de cet outil précieux qu’est la convention entre autorités de régulation[20]. Il n’est demeure pas moins que le cadre de cette coopération, institué dans le Code monétaire et financier, mériterait d’être clarifié, en particulier au regard de la loi de blocage dont il constitue une exception[21].

 

Coopération internationale – Abus de marché – Autorité européenne des marchés financiers  –  ESMA – OICV – Données personnelles.

 

[1] J. Morel-Maroger, « Réflexions autour des évolutions récentes de l’environnement normatif international des activités bancaires et financières », in Mélanges en l’honneur de Jean-Jacques Daigre, Joly, 2017, pp. 725-734. Sur la nature de ces conventions, v. Th. Bonneau, P. Pailler e. al., Droit financier, 2e éd., LGDJ, 2019, n° 1678 citant R. Bismuth, La Coopération internationale des autorités de régulation du secteur financier et le droit international public, préf. J.-M Sorel, Bruylant, 2011.

 

[2] Sur ces questions, V. A.-C. Rouaud, « Coopération internationale et droits de la défense », Banque et Droit n° 183, janv.-févr. 2019, p. 36 ; v. égal. P. Barban, « Melting Pot relatif à l’information privilégiée et à la coopération internationale », Banque et Droit n° 186, juil.-août 2019, p. 37 ; Adde Th. Bonneau, P. Pailler e. al., Droit financier, 2e éd., L.G.D.J., 2019, n° 1667.

 

[3] Règlement n° 596/2014 du Parlement européen et du Conseil du 16 avril 2014 sur les abus de marché, spéc. art. 26, § 1 : « Les autorités compétentes des États membres concluent, si nécessaire, des accords de coopération avec les autorités de surveillance de pays tiers concernant l’échange d’informations avec ces dernières et l’exécution des obligations résultant du présent règlement dans des pays tiers. Ces accords de coopération assurent au moins un échange efficace d’informations permettant aux autorités compétentes d’accomplir les missions que leur confie le présent règlement. »

 

[4] https://www.iosco.org/library/pubdocs/pdf/IOSCOPD386.pdf.

 

[5] https://www.iosco.org/about/?subSection=mmou&subSection1=signatories.

 

[6] Comme une demande hors procédure ou encore une demande portant sur une affaire déjà jugée sur le territoire de l’autorité sollicitée.

 

[7] Comme une demande conduisant l’autorité à violer sa loi nationale ou à mettre en danger l’efficacité de sa mission.

 

[8] C’est-à-dire la récolte indéterminée d’informations sans motif précis, v. Th. Bonneau, P. Pailler, e.a., Droit financier, 2e éd., L.G.D.J., 2019, n° 1674.

 

[9] Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

 

[10] La liste des signataires est disponible sur la page suivante : https://www.iosco.org/about/?subsection=administrative_arrangement&subsection2=signatories

 

[11] CEPD, Avis n° 4/2019 du 12 février 2019 sur le projet d’arrangement administratif relatif au transfert de données à caractère personnel entre les autorités de surveillance financière de l’Espace économique européen (EEE) et les autorités de surveillance financière hors EEE, disponible sur le site du CEPD : https://edpb.europa.eu/edpb_fr.

 

[12] RGPD, art. 45. Pour une liste des décisions d’adéquation : https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

 

[13] RGPD, art. 46. 3. b)

 

[14] Pour plus de précisions sur ces garanties qui reposent sur un principe de nécessité et de proportionnalité du transfert ainsi que d’un droit d’accès et d’opposition, V. Communication ESMA70-145-457 du 8 octobre 2019, Annexe 2.

 

[15] RGPD, art. 49, 1. d)

 

[16] AMF, Commission des sanctions, 12 avril 2013, Geodis, SAN-2013-10 : Banque et Droit n° 150, Juillet-août 2013, p. 24, note J.-J. Daigre ; BJB n° 7, juillet 2013, p. 345, note J.-P. Pons-Henry et G. Robert ; Dr. Sociétés n° 7, juillet 2013, comm. 124, note S. Torck).

 

[17] Loi n° 68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d’ordre financier ou technique à des personnes physiques ou morales étrangères : Névot, Rev. crit. DIP 1981. 15 ; RFDA, mai-juin 2014, p. 487, comm. N. Lenoir ; Banque et Droit, janv-févr. 2015, p. 26, comm. E. Caradec ; Banque et Droit n° 165 et 166, note G. Parléani.

 

[18] CE 6 avril 2016, n° 374224, publié au Recueil : Dr. Sociétés n° 6, juin 2016, comm. 107, R. Vabres ; RJDA 2016, n° 695.

 

[19] Le Conseil d’État a ainsi précisé : « Considérant que l’article L. 632-7 du code monétaire et financier fixe les conditions dans lesquelles l’Autorité des marchés financiers peut conclure, avec des autorités homologues, des accords de coopération prévoyant notamment l’échange d’informations ; que l’article L. 632-16 du même code fixe les conditions dans lesquelles l’Autorité peut conduire des activités de surveillance, de contrôle et d’enquêtes à la demande d’autorités étrangères ; que ces dispositions, qui dérogent aux dispositions de la loi du 26 juillet 1968 visée ci-dessus relative à la communication de documents et renseignements d’ordre financier ou technique à des personnes physiques ou morales étrangères, n’ont ni pour objet ni pour effet de faire obstacle à ce que l’Autorité des marchés financiers utilise, pour les besoins d’une enquête dont elle a la responsabilité, des informations obtenues d’autorités étrangères en dehors de tout accord de coopération préalable ; qu’il était ainsi loisible à l’Autorité de solliciter les autorités libanaises pour obtenir certains renseignements relatifs à l’activité de M.B..., alors même qu’elle n’aurait pas au préalable conclu d’accord de coopération avec ces dernières ; qu’il suit de là que le moyen tiré de ce que l’Autorité des marchés financiers aurait obtenu les informations litigieuses au terme d’une procédure irrégulière ne peut qu’être écarté ».

 

[20] Colloque AEDBF-Europe et AEDBF-France : « La coopération européenne et internationale des autorités de supervision en matière bancaire et financière », 15 novembre 2019, actes du colloque à paraître.

 

[21] Th. Bonneau, P. Pailler e.al., Droit financier, 2e éd., LGDJ, 2019, n° 1666.

 

 

Articles du(des) même(s) auteur(s)