Devant le Conseil constitutionnel, a été mis en cause l’accès aux données de connexion des autorités administratives, et spécialement de l’Autorité des marchés financiers. Une question prioritaire conteste ce droit, déposée par un particulier poursuivi par l’AMF. Les Exégètes sont intervenus volontairement via des mémoires.
L’AMF dispose, en vertu de l’article L. 621-10 du Code monétaire et financier, du pouvoir de demander aux opérateurs et services de communications électroniques la communication des données de connexion pour les besoins d’une enquête touchant son périmètre. Un droit d’accès jugé par le gouvernement comme « essentiel afin de faire la preuve d'éventuels délits d'initiés et pour reconstituer le circuit de transmission d'informations privilégiées ».
Une question prioritaire a cependant été soulevée devant la Cour de cassation dans le cadre d’une procédure visant un individu. La problématique ? Savoir si les enquêteurs et contrôleurs peuvent se faire communiquer « les données conservées et traitées par les opérateurs de télécommunications » dans la plus grande des libertés, sans contrôle extérieur comme le prévoit le Code monétaire. Un accès qui concerne les données techniques de connexion (comme les où et quand d’une communication), de facturation (référence contrat, adresse de l'abonné, coordonnées bancaires...) et les données de trafic ou de navigation (dont les numéros appelés et appelants).
2001-2017, deux années incomparables
La difficulté est qu’en 2001, le Conseil constitutionnel s’était montré peu sourcilleux de ces questions, validant rapidement des pouvoirs similaires reconnus alors à la Commission des opérations de bourse, l’ancêtre de l’AMF avant 2003.
Devant le Conseil constitutionnel, plusieurs avocats se sont succédé pour expliquer aux neuf sages que depuis, la situation a considérablement changé. À l’époque, estime Me Didier Bouthors, l’accès ne portait que sur les données des appels (durée, numéros, métadonnées autour des échanges par SMS) et l’identification du titulaire de l’appareil. Or, depuis la loi est intervenue pour gonfler vigoureusement le stock de ces données de connexion, avec Internet et la géolocalisation.
Le précédent de la loi Macron et les pouvoirs de l’Autorité de la concurrence
Autre changement de droit cette fois, en 2015, à l’occasion de l’examen de la loi Macron sur la croissance et l’activité, le Conseil constitutionnel a censuré une disposition miroir qui consacrait l’accès aux métadonnées aux agents de l’Autorité de la concurrence en s’inspirant à plein nez de l’AMF.
Dans leur décision, les sages du Conseil constitutionnel ont alors constaté l’absence de garanties « propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions ». Et censuré la disposition.
Inversement, en 2015, à l’occasion de l’examen de la loi sur le renseignement, la situation antérieure relative à l’accès aux données de connexion à coup de réquisitions administratives, le même Conseil a validé ces accès car ils étaient accompagnés à ses yeux des garanties utiles, notamment s’agissant de la conservation, des recours à un autorité administrative indépendante, etc.
Pour les agents de l’AMF, de tels verrous n’existent pas : la loi s’en remet à l’humain, se limitant à exiger à une habilitation et faisant confiance au culte du secret. Les données collectées par l’AMF peuvent ainsi être conservées, utilisées, voire transmises sans limitation particulière. Elles peuvent même sortir de l’Union européenne pour nourrir les autorités boursières américaines dans la plus grande des libertés.
Une censure immédiate, sans déport
À la barre, Me François Molinié a lui aussi exhorté le Conseil constitutionnel à censurer cette disposition. Une censure qu’il veut immédiate, non différée dans le temps, qui ne prive pas les requérants du bénéfice d’une déclaration d’inconstitutionnalité.
Le Conseil constitutionnel a en effet la possibilité de repousser dans le temps une telle censure afin de laisser à l’exécutif et au législateur le temps nécessaire pour corriger la brèche ouverte sur les libertés individuelles. Et c’est ce que réclament le gouvernement et l’AMF, si du moins la censure est confirmée. Selon eux, il y aura risque de nuisance sur les procédures en cours. Une censure immédiate pourrait ainsi invalider 40 dossiers en cours, avec en jeu 80 millions d’euros de plus-values liés aux manquements poursuivis.
Le juriste a beau regarder les pièces, il n’assure ne voir aucune conséquence manifestement excessive qui puisse justifier un tel report. « Ce ne sont que des épouvantails, agités sans aucune consistance, aucun chiffre n’est fourni par le secrétaire général du gouvernement, pas la moindre donnée sur les conséquences qualitative et quantitative ! » rétorque Me Molinié pour qui l’AMF peut toujours entrer en voie de condamnation sans s’appuyer sur les relevés de métadonnées.
Surtout, l’avocat estime que le mal dont souffre cette disposition est bien connu du gouvernement. Alors que la décision sur la loi Macron relative à l’Autorité de la concurrence a été bruyamment rendue, il n’a rien fait. « Il a donc laissé les choses en jachère, la situation actuelle résulte de sa propre carence ! » (Ajoutons pour notre part que la question est sur le bureau de la CNIL depuis des années, sans conséquence particulière...)
Autre aiguillon venue de l’Europe : l’arrêt Télé2 du 21 décembre 2016. La Cour de Justice de l’Union européenne a demandé à ce que la collecte et la conservation des données soient entourées de garanties solides. Une décision contraire du Conseil constitutionnel pourrait créer un risque d’inconventionnalité.
Les métadonnées sous l’œil de l’AMF
L’avocate de l’AMF a péniblement tenté de minorer l’atteinte à la vie privée consécutive à l’élargissement de l’accès aux données de connexion. « On nous affirme de manière péremptoire que les données de connexion portent atteinte à la vie privée, mais il n’y pas de démonstration concrète. » Pourtant la Cour de justice de l’Union a plusieurs fois rappelé cette évidence, constatant qu’il est possible de tirer des enseignements très fins sur la vie privée d’une personne en scrutant le sillage de ses données.
Surtout, la juriste a considéré que la recherche d’un équilibre entre ordre public et libertés individuelles ne pouvait faire abstraction des conditions concrètes. Dans les enquêtes des agents de l’autorité, la quête de la communication d’une information privilégiée est délicate, il est souvent nécessaire de recourir à un faisceau d’indices, au fil par exemple des échanges de SMS entre deux personnes durant une période pertinente. L’accès aux données de connexion permet donc à l’AMF de surmonter les difficultés de preuve. Il serait donc inopportun de la priver d’un tel outil. Et l’avocate de dénoncer une « instrumentalisation de la vie privée » par les requérants…
L’intervention des Exégètes
Me Hugo Roy, qui défend la Quadrature du Net dans son intervention volontaire, a au contraire relativisé la distinction entre métadonnées et données. Une opposition qui n’est pas « pertinente » selon lui, considérant qu’il s’agit d’un continuum où les métadonnées contiennent en elles-mêmes des informations consubstantielles aux communications. Et l’une et l’autre portent atteinte à la vie privée, sans l’ombre d’un doute.
Il plaide lui aussi pour une censure immédiate. Le Conseil constitutionnel est déjà intervenu voilà deux ans. Et, un effet différé placerait la France en contrariété avec l’arrêt Télé2 de la Cour de Justice de l’Union européenne, laquelle a épinglé une disposition présentant des lacunes similaires, avec un manque béant de garanties.
Du côté de FDN et de FFDN, Me Alexis O Cobhthaigh ira dans le même sens : vie privée, jurisprudence européenne, censure immédiate. Pour lui, le Conseil constitutionnel doit surtout se saisir de l’occasion pour « éclairer le législateur sur ses responsabilités » en la matière, et de « graver les garanties indispensables pour encadrer l’accès aux données » afin que les autres dispositions législatives soient mises à jour. Il citera le Code de la propriété intellectuelle et le pouvoir similaire des agents de la Hadopi.
La décision du Conseil constitutionnel sera rendue le 21 juillet 2017.
