Espace Banque & Droit

Abus de marché : la Cour de cassation, les données de connexion et les droits fondamentaux (bis repetita)

Créé le

10.10.2025

Par un arrêt du 28 mai 2025, la chambre commerciale de la Cour de cassation s’aligne sur la solution initiée par la chambre criminelle dans plusieurs séries d’arrêts concernant la conservation généralisée des données de connexion aux fins de lutte contre la criminalité grave et l’accès des enquêteurs de l’AMF à ces données dans le cadre d’enquêtes en matière d’abus de marché.

Anne-Claire Rouaud
  • Agrégée des facultés de droit, professeure Université Paris 1 Panthéon-Sorbonne
  • Co-directrice, Sorbonne Affaires/Finance

La montagne aura finalement accouché d’une souris. Le contraste entre les principes affirmés par la Cour de justice de l’Union européenne (CJUE) concernant la conservation généralisée des données de connexion et l’accès à ces données, et l’impact sur le contentieux interne est assez saisissant. Alors même que les dispositions pertinentes ont été réécrites pour tenir compte de la jurisprudence du Conseil constitutionnel et de la CJUE1, les mesures prises sur le fondement des anciennes dispositions, y compris en matière d’abus de marché, échappent finalement assez largement à la nullité. Il est vrai que les données de connexion constituent souvent un élément de preuve important dans les dossiers d’opérations d’initiés. Les informations relatives à l’identité civile de l’utilisateur, à la source de la connexion et à l’équipement utilisé (adresse IP, etc.) et les données de trafic (identification du destinataire de la communication, date et durée de la correspondance), en particulier, peuvent s’avérer cruciales pour établir la circulation d’une information privilégiée.

La directive vie privée et communications électroniques2 pose un principe d’effacement ou d’anonymisation des données de connexion, tout en autorisant les États membres à y apporter des limitations pour sauvegarder la sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales3. C’est ainsi qu’en droit français, les dispositions de l’article L. 34-1 du Code des postes et des communications électroniques (CPCE) imposent aux opérateurs de télécommunications de conserver les données de connexion pendant un certain délai, de manière que les enquêteurs et les services de renseignement, habilités par d’autres dispositions, puissent ensuite puiser dans ce « lac de données »4 dans le cadre d’enquêtes pénales ou administratives ou pour les besoins de la lutte contre le terrorisme.

Mais les évolutions technologiques permettent, à partir de ces données, de tirer des conclusions très précises concernant la vie privée des personnes5, de sorte que la conservation généralisée de ces données et leur consultation constituent des atteintes graves au droit au respect de la vie privée et doivent être strictement encadrées. Tout est donc affaire d’équilibre. Or tandis que la CJUE considère que les objectifs de sauvegarde de la sécurité nationale ou de lutte contre la criminalité, si légitimes fussent-ils, doivent respecter la « barrière infranchissable des droits fondamentaux des citoyens »6, le Conseil d’État et la Cour de cassation se sont attachés à préserver l’efficacité des investigations.

L’arrêt du 28 mai 2025 a été rendu dans le cadre d’une importante affaire d’initiés ayant conduit à plusieurs mises en examen et à de multiples décisions de justice, les intéressés ayant cherché par tous moyens à faire invalider les opérations de visites et saisies effectuées par les enquêteurs de l’AMF. Après avoir vainement demandé la transmission d’une question prioritaire de constitutionnalité critiquant l’absence d’obligation de notifier aux personnes entendues par les enquêteurs leur droit de se taire7, c’est cette fois-ci un moyen tiré de l’inconventionnalité du droit d’accès des enquêteurs aux données de connexion qui était soulevé. En effet, en l’espèce, un juge des libertés et de la détention avait, en décembre 2014, autorisé les enquêteurs à effectuer des opérations de visites et saisies au domicile de la personne visée par l’enquête ainsi qu’au siège social de la société dont elle était associée et où elle exerçait son activité professionnelle. Or le secrétaire général de l’AMF avait invoqué, au soutien de la demande d’autorisation, les données de connexion préalablement obtenues par les enquêteurs auprès des opérateurs de télécommunications. En appel puis devant la Cour de cassation, la personne poursuivie arguait de l’irrégularité de l’accès aux données de connexion pour demander l’annulation subséquente des visites et saisies.

Pour rejeter le pourvoi, la chambre commerciale s’inscrit dans le sillage des décisions rendues par la chambre criminelle, dont l’arrêt reprend la motivation.

1. La chambre commerciale fait d’abord sien le raisonnement tenu par la chambre criminelle dans les arrêts du 12 juillet 20228 et du 10 mai 20239 en ce qui concerne la conservation des données de connexion10 : « s’il résulte de la jurisprudence de la Cour de justice de l’Union européenne (...) que doivent être écartés, comme contraires au droit de l’Union européenne, l’article L. 34-1, III, du code des postes et communications électroniques, dans sa rédaction issue de la loi n° 2013-1168 du 18 décembre 2013, ainsi que l’article R. 10-13 dudit code, en ce qu’ils imposaient aux opérateurs de services de communications électroniques une conservation généralisée et indifférenciée, à titre préventif, des données de trafic et de localisation notamment aux fins de lutte contre les abus de marché, quel que soit leur degré de gravité, en revanche, le droit de l’Union européenne, qui autorise la délivrance d’une injonction tendant à la conservation rapide des données relatives au trafic et des données de localisation stockées par les opérateurs, soit pour leurs besoins propres, soit au titre d’une obligation de conservation imposée aux fins de sauvegarde de la sécurité nationale, permet d’accéder auxdites données pour l’élucidation d’une infraction pénale déterminée relevant de la criminalité grave. Une telle mesure de conservation rapide peut être ordonnée dès le premier stade d’une enquête, serait-elle administrative, portant sur un éventuel acte de criminalité grave, tant lorsque cet acte a déjà pu être constaté que lorsque son existence peut, au terme d’un examen objectif de l’ensemble des circonstances pertinentes, être raisonnablement soupçonnée »11. Il en résulte, selon la Haute juridiction, que les demandes adressées, en exécution des dispositions de l’article L. 621-10 du code monétaire et financier dans sa version applicable au litige, par les enquêteurs de l’AMF, pour les strictes nécessités d’une enquête déterminée portant sur un abus de marché relevant de la criminalité grave, aux opérateurs de communications électroniques, peuvent être interprétées comme valant injonction de conservation rapide12. On ne s’attardera pas sur ce point, d’autant que le moyen développé au soutien du pourvoi était exclusivement axé sur l’accès aux données par les enquêteurs, et non sur les conditions de leur conservation préalable. Comme on l’a déjà relevé, cette solution repose sur une interprétation très libre de la jurisprudence de la Cour de justice13, consistant à greffer la conservation rapide aux fins de la lutte contre la criminalité grave sur la conservation généralisée aux fins de sauvegarde de la sécurité nationale afin d’autoriser les enquêteurs à puiser, par le biais de la conservation rapide, dans le « lac de données » conservées aux fins de sauvegarde de la sécurité nationale.

2.1. La chambre commerciale fait également sien le raisonnement de la chambre criminelle en ce qui concerne l’accès des enquêteurs aux données ainsi conservées, prenant acte de la contrariété des anciennes dispositions au droit de l’Union tout en limitant fortement la faculté d’invoquer la nullité des preuves ainsi recueillies : « la faculté offerte aux enquêteurs de l’AMF d’obtenir des données de connexion sans contrôle préalable par une juridiction ou une autre autorité administrative indépendante n’est pas conforme aux exigences du droit de l’Union. Il appartient alors à la juridiction saisie d’un moyen de nullité critiquant la régularité de l’accès des enquêteurs de l’AMF aux données de connexion, dans l’hypothèse où le requérant a intérêt et qualité pour agir, de vérifier l’existence du grief allégué, laquelle est établie lorsque les éléments de fait justifiant la nécessité d’une telle mesure d’investigation ne répondent pas à un critère de gravité suffisant ou lorsque la conservation rapide desdites données et l’accès à celles-ci excèdent les limites du strict nécessaire »14.

Pour rappel, les dispositions de l’article L. 621-10 du code monétaire et financier, dans leur version applicable aux faits de l’espèce, qui ne soumettaient pas l’accès des enquêteurs de l’AMF aux données de connexion à un contrôle préalable par une juridiction ou une autre autorité administrative indépendante, ont été jugées à la fois inconstitutionnelles15 et inconventionnelles16. Si les conséquences pour le passé de la déclaration d’inconstitutionnalité ont été neutralisées du fait du report dans le temps des effets de la décision du Conseil constitutionnel, l’effet d’éviction de dispositions nationales non conformes au droit de l’Union ne peut être suspendu par le juge national de manière à sauvegarder les mesures prises sur leur fondement et les sanctions déjà prononcées, et la Cour de justice a refusé de le faire17. Le juge national retrouve cependant, conformément au principe d’autonomie procédurale des États membres, une certaine marge de manœuvre s’agissant d’apprécier la recevabilité des preuves obtenues sur le fondement des dispositions non conformes. Or la chambre criminelle de la Cour de cassation n’admet que de manière très restrictive la nullité d’actes d’enquête, la nullité n’étant encourue que si le requérant établit que l’irrégularité procédurale lui a causé un grief18.

S’agissant de l’accès irrégulier des enquêteurs aux données de connexion, l’existence d’un tel grief est établie, selon la Cour de cassation, lorsque les éléments de fait justifiant la nécessité d’une telle mesure d’investigation ne répondent pas à un critère de gravité suffisant. La gravité des faits s’apprécie, selon la Haute juridiction, « au regard de la nature des agissements de la personne concernée, de l’importance du dommage qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue »19. Les juges du fond peuvent également se référer aux critères figurant au considérant 11 de la directive Abus de marché20, parmi lesquels l’incidence sur l’intégrité du marché, le bénéfice réel ou potentiel engrangé ou la perte évitée, l’importance du préjudice causé au marché ou la valeur globale des instruments financiers négociés, ainsi que la commission de l’infraction dans le cadre d’une organisation criminelle21.

2.2. Aux motifs repris des arrêts de la chambre criminelle, la chambre commerciale ajoute qu’« il résulte de l’article L. 465-3-6 du code monétaire et financier qu’une enquête de l’AMF peut, le cas échéant, donner lieu à des poursuites pénales. Il s’ensuit qu’il y a lieu de prendre en compte, pour apprécier la gravité des faits objet de l’enquête, les sanctions pénales pouvant être prononcées au titre de ceux-ci »22. La référence laconique à l’article L. 465-3-6, relatif à la procédure d’aiguillage, peut surprendre à première vue, puisque précisément les sanctions pénales ne sont effectivement encourues qu’en fonction de l’aiguillage du dossier. Cela signifie-t-il que la possibilité théorique de sanctions pénales, indépendamment de l’aiguillage du dossier, constitue en soi un indice de la gravité des faits ? Cela ne constituerait cependant pas un critère opérant. Sans doute faut-il comprendre que lorsque le dossier a été aiguillé vers la voie pénale et que par conséquent des sanctions pénales sont effectivement encourues – ce qui est certainement un indice de la gravité des faits, même si le législateur français n’a pas voulu en faire le critère de l’aiguillage, précisément en raison des incertitudes relatives à la notion de gravité –, il convient d’en tenir compte pour apprécier la gravité des faits et par là même l’existence d’un grief causé à l’intéressé par l’accès irrégulier à ses données de connexion.

En l’espèce, la chambre commerciale considère qu’il résulte des éléments relevés par le juge du fond, relatifs aux faits eux-mêmes (en l’occurrence, des prises de positions vendeuses ou acheteuses à découvert sur des contracts for difference alors que des informations sensibles relatives à l’émetteur des titres sous-jacents n’avaient pas encore été rendues publiques), au bénéfice réalisé par l’intéressé lors du dénouement de ces positions (d’un montant de 180 000 euros), au fait que les faits litigieux étaient étalés sur plusieurs mois et qu’ils ont eu une incidence sur l’intégrité du marché, que « les faits à l’origine de la demande d’accès aux données de connexion répondaient à un critère de gravité suffisant ». Si plusieurs décisions rendues par la chambre criminelle illustrent, notamment en matière de trafic de stupéfiants, le contrôle de la qualification des faits auquel se livre la Haute juridiction23, l’arrêt commenté en est la première application en matière d’abus de marché24.

À retrouver dans la revue
Banque et Droit Nº223
Notes :
1 Les dispositions du Code monétaire et financier relatives à l’accès des enquêteurs de l’AMF aux données de connexion, déclarées inconstitutionnelles (Cons. constit., 21 juill. 2017, n° 2017-646/647 QPC, M. Alexis K. et autre), ont été réécrites par la loi n° 2018-898 du 23 octobre 2018 relative à la lutte contre la fraude. Les dispositions de l’article L. 34-1 du Code des postes et des communications électroniques, non conformes au droit de l’UE, ont été réécrites par la loi n° 2021-998 du 30 juill. 2021 relative à la prévention d’actes de terrorisme et au renseignement.
2 Dir. Parl. et Cons. 2002/58/CE du 12 juill. 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
3 Art. 15, § 1, dir. Parl. et Cons. 2002/58/CE, préc.
4 Selon la formule du rapporteur public A. Lallet dans ses conclusions dans l’affaire French Data Network, citée infra.
5 CJUE, Gde ch., 8 avr. 2014, Digital Rights Ireland Ltd, C-293/12 et C-594/12, point 27 ; CJUE, 21 déc. 2016, Tele 2 Sverige, aff. jointes C-203/15 et C- 698/15.
6 Cf. conclusions de l’Avocat général Manuel Campos Sanchez-Bordona dans les affaires jointes C-511/18 et C-512/18, La Quadrature du Net e.a., point 132.
7 Cass. com. 10 juill. 2024, n° 24-10.054, RDBF n° 5, sept.-oct. 2024, comm. 134, P. Pailler ; Dr. pén. 2024, comm. 153, J.-H. Robert.
8 Cass. crim. 12 juill. 2022, n° 21-83.820 (FS-B), n° 21-83.710 (FS-BR), n° 21-84.096 (FS-B), n° 20-86.652 (FS-B): JCP G 2022. 1123, note O. Cahn ; BJB nov.-déc. 2022, p. 10, BJB 200z4, note M. Galland et N. Ida. Adde A. Gogorza, « L’accès aux données de connexion : les affres du pluralisme normatif », Droit pénal n° 10, Oct. 2022, étude 20.
9 Cass. crim. 10 mai 2023, n° 19-82.223, n° 19-80.908 et n° 19-82.221 (3 arrêts), FS-D : Banque et Droit n° 210, juill.-août 2023, p. 26, note A.-C. Rouaud ; BJB juill. 2023, n° BJB201i2, note M. Galland.
10 Raisonnement tenu par le Conseil d’État : CE, Ass., 21 avril 2021, n° 393099, Lebon, spéc. point 57 ; JCP G n° 21, 2021, doctr. 561, obs. D. Simon ; JCP G n° 24, 14 juin 2021, 659, note A. Iliopoulou-Penot ; BJB juill. 2021, n° 200d0, p. 14, note M. Galland ; B. Bertrand et F. Jault-Seseke, Blog du Club des Juristes, 7 mai 2021.
11 Décision commentée, point 7 ; Cass. crim. 10 mai 2023, préc., points 13 et 14.
12 Ibid. V. déjà Cass. crim., 12 juill. 2022, n° 21-83.710, préc., points 32 à 36.
13 A.-C. Rouaud, note préc. sous Cass. crim. 10 mai 2023.
14 Décision commentée, point 7. V. déjà Cass. crim. 12 juill. 2022, préc., point 37 et Cass. crim. 10 mai 2023, préc., point 16.
15 Cons. constit., 21 juill. 2017, préc.
16 Cass. crim, 1er avril 2020, n° 19-82.221 ; n° 19-82.222 ; n° 19-82.223 ; n° 19-80.908 ; n° 19-80.900 et 19-80.901 ; BJB mai 2020, n° 119c2, p. 21, note A. Pietrancosta ; Banque et Droit n° 193, juill.-août 2023, p. 26, note A.-C. Rouaud.
17 CJUE, gde ch., 20 sept. 2022, aff. C339/20 et C-397/20, -VD et SR : Banque et Droit n° 206, 2022, p. 45, note A.-C. Rouaud ; Revue Juridique de la Sorbonne (en ligne) n° 6, 2022, commentaire par les étudiants du Master 2 Droit des affaires de l’Université Paris 1 Panthéon-Sorbonne ; JCP E 2023. 1036, note N. Ida. V. égal. V. not. CJUE, Gde ch., 6 oct. 2020, aff. jointes C511/18, C-512/18 et C-520/18, -La Quadrature du Net : BJB janv. 2021, n° 119p3, p. 16, note M. Galland ; D. 2021, p. 406, note M. Lassalle ; Droit pénal n° 4, avril 2021, chron. 4, n° 13, O. Cahn. V. égal. CJUE, gde ch., 5 avr. 2022, aff. C-140/20, Commissioner of the Garda Síochána et a.
18 Cass. crim. 7 sept. 2021, n° 21-80.642 et 20-87.191 : , note H. Matsoppoulou. – Cass. crim. 7 déc. 2021, n° 20-82.733, B. – Cass. crim. 12 juill. 2022, n° 21-83.710, préc., point 49.
19 Décision commentée, point 7. V. égal. Cass. crim. 12 juill. 2022, préc., point 38 et Cass. crim. 10 mai 2023, préc., point 17.
20 Dir. PE et Cons. 2014/57/UE du 16 avril 2014 relative aux sanctions pénales applicables aux abus de marché.
21 Décision commentée, point 7 ; Cass. crim. 10 mai 2023, préc., point 18.
22 Décision commentée, point 8.
23 V. par ex. Cass. crim., 5 mars 2024, n° 23-83.817.
24 Dans les arrêts du 10 mai 2023, rendus en matière d’abus de marché, la chambre criminelle a cassé les arrêts de la chambre d’instruction précisément parce que celle-ci n’avait pas vérifié la gravité des faits et, partant, l’existence du grief allégué.