On signalera de quelques mots un arrêt déjà largement repéré qui fera l’objet de nombreuses analyses de détail d’un point de vue interne, et vient conclure la saga de l’accès aux données de connexion dans le contentieux financier1. Saisie de différentes questions préjudicielles transmises par la chambre criminelle le 1er avril 20202, la Cour de justice vient de rendre en grande chambre un arrêt d’importance qui implique une articulation des dispositifs applicables en matière de lutte contre les abus de marché et de communications électroniques.
Rappelons d’un mot que dans le cadre de la lutte contre les infractions boursières, l’accès aux données de connexion était un pouvoir d’investigation historique reconnu d’abord à la COB3, censuré comme contraire au droit à la protection de la vie privée par la Conseil constitutionnel4, avant d’être réintroduit en 2018 par une loi présentant des garanties plus importantes pour le justiciable5.
Toute difficulté n’était cependant pas aplanie car l’accès aux données de connexion suppose leur stockage préalable, en vertu de règles générales qui n’appartiennent pas au droit financier mais au droit de la communication – ou de la conservation des données pourrait-on dire. Coïncidence particulière, l’article 34-1 du Code des postes et des communications électroniques vient lui-même d’être réécrit, par une loi no 2021-998, du 30 juillet 2021, relative à la prévention d’actes de terrorisme et au renseignement, anticipant sur une déclaration d’inconstitutionnalité prononcée en début d’année6, également sur le terrain du droit au respect de la vie privée tel que protégé par l’article 2 de la Déclaration des droits de l’homme et du citoyen7.
C’est dire que, sur ses deux jambes – le stockage, puis l’accès –, le dispositif d’accès aux données de connexion en matière d’abus de marché a connu des évolutions rapides pour tenir compte des impératifs liés à la protection de la vie privée, soulevant alors deux difficultés essentielles. D’une part, l’interdiction d’une conservation indifférenciée et généralisée des données connaît-elle une exception du fait des impératifs de lutte contre les abus de marché ? D’autre part, sur le terrain de l’application dans le temps dispositions censurées ou autrement jugées contraires aux droits fondamentaux, l’efficacité de la procédure répressive peut-elle justifier le maintien provisoire de dispositifs ne présentant pourtant pas les garanties constitutionnelles et conventionnelles suffisantes ?
La première interrogation était une question de pure articulation des impératifs propres du droit européen. Reprenant une analyse déjà conduite8, il y est jugé d’abord que la lutte contre les abus de marché ne justifie pas la conservation généralisée et indifférenciée à titre préventif des données de trafic pendant un an à compter de l’enregistrement. C’est là, en substance, conclure à ce à quoi le législateur avait déjà conclu : la nécessité de faire évoluer les dispositions de droit interne ayant transposé la directive 2002/58/CE. Si elle est importante, la lutte contre les abus de marché ne relève pas des objectifs visés à l’article 15 de la directive précitée, qu’il s’agisse de la sécurité nationale, de la défense ou de la sécurité publique. Certes, ces concepts sont assez larges pour souffrir une argumentation contraire. Mais il faut bien se ranger à l’interprétation donnée par la CJUE, somme toute raisonnable. En résulte tout de même un problème lié à la prise en compte sans doute insuffisante par les textes de droit dérivé antérieur, de l’extension de la compétence pénale opérée par l’article 89 du TFUE fondé sur le traité de Lisbonne. Dès lors qu’existe la nécessité d’une harmonisation répressive comme ce fut le cas en vertu non plus du règlement mais de la directive abus de marché, les intérêts à prendre en compte dans les conditions de stockage des données pourraient sans doute être étendus de manière cohérente au sein du droit dérivé avec les textes répressifs. La difficulté ultérieure tient toutefois dans le détachement qu’opère la compétence pénale de l’article 89 du Traité entre le droit pénal de fond et la procédure répressive. L’article 89 n’édicte qu’une compétence pour édicter des infractions et des sanctions minimales quand, à l’évidence, c’est ici une question d’investigation qui est ici soulevée.
En résulte alors une seconde interrogation induite, à l’égard des instances en cours. L’arrêt juge de manière certainement plus fondamentale à la contrariété au droit de l’Union du maintien, aux fins d’efficacité de la répression, de règles contraires au droit de l’Union en matière de stockage de données. C’est dire que n’est pas légitime au regard du droit de l’Union l’objectif d’efficacité procédurale le temps d’un réajustement des textes. Tel est pourtant le chemin pris par la jurisprudence compte tenu de l’abrogation différée qu’avait énoncée la décision du 21 juillet 2017 au sujet de l’ancien article L.621-10, dans sa rédaction résultant de la loi n° 2013-672 du 26 juillet 2013 de séparation et de régulation des activités bancaires. S’il ne s’agit là, somme toute, que d’un rappel classique des conséquences induites par le principe de primauté du droit de l’Union et à son corollaire qu’est le principe d’interprétation conforme – qui constitue d’ailleurs le point de départ du raisonnement au pt. 97 –, le traitement des conséquences procédurales qui en résulte n’est pas pour autant évident.
S’appuyant essentiellement sur son arrêt Prokuratuur9, lui-même issu de sa jurisprudence la Quadrature du net10, la Cour de justice opère aux points 104 à 106 un renvoi au principe d’autonomie procédurale et, partant, au droit national, la détermination de la recevabilité des éléments relatifs au trafic de données, « sous réserve notamment des principes d’équivalence et d’effectivité ».
Sans garantie d’exactitude, le rapprochement du point 106 de l’arrêt commenté, avec les points 41 à 44 de l’arrêt Prokaratuur semble suggérer la voie suivante au juge national. Même recueillis dans des conditions contraires au droit de l’Union, les éléments relatifs aux données de connexion se prêtent à examen dans les instances en cours sous condition d’une soumission au contradictoire et compte tenu, implicitement mais nécessairement, des autres modulations suggérées par l’arrêt Prokuratuur dont, en particulier, une réduction du quantum de la sanction.
C’est dire, en d’autres termes, que l’éviction de toute application transitoire de dispositifs contraires au droit de l’Union se fait essentiellement en cas de violation de règles qui demeurent quoiqu’il arrive applicables à l’instance.
Une lecture optimiste non de l’arrêt mais du caractère faiblement perturbateur de la solution qu’il rend, pourrait être la suivante. Un arrêt rendu au sujet de dispositifs périmés de droits nationaux réaffirme la primauté du droit de l’Union dont personne ne doutait pour renvoyer à l’indispensable autonomie procédurale des Etats membres la pondération des éléments de preuve recueillis en contrariété avec le droit de l’Union, au nom de garanties processuelles fondamentales dont, là encore, personne ne doute. L’effet d’annonce demeure plus spectaculaire que la portée de la solution sur la pratique évidemment bien discutable de l’abrogation différée qui résulte de notre question prioritaire de constitutionnalité.
Au-delà de ces conséquences de système, demeure le besoin pratique d’articuler donc, à droit constant, les nouvelles règles d’accès aux données de connexion du Code monétaire et financier avec les nouvelles dispositions en matière de stockage de données11. Gageons que cela puisse rester désormais une matière contentieuse purement interne. n
