Sanctions pénales applicables aux abus de marché (directive relative aux abus de marché)

AVIS du Contrôleur européen de la protection des données (CEPD) sur les propositions de la Commission de règlement du Parlement européen et du Conseil sur les opérations d’initiés et les manipulations de marché, et de directive du Parlement européen et du Conseil relative aux sanctions pénales applicables aux opérations d’initiés et aux manipulations de marché.

Les propositions de règlement et de directive ont été envoyées par la Commission au CEPD en vue d’une consultation et reçues le 31 octobre 2011. Le 6 décembre 2011, le Conseil de l’Union européenne a consulté le CEPD sur les propositions.

Le CEPD note que plusieurs des mesures prévues dans les propositions visant à améliorer l’intégrité du marché et la protection des investisseurs ont une incidence sur les droits des personnes s’agissant du traitement de leurs données à caractère personnel. Alors que la proposition de règlement contient plusieurs dispositions susceptibles de porter atteinte aux droits des personnes à la protection de leurs données à caractère personnel, la proposition de directive ne comporte pas, en tant que telle, le traitement de données à caractère personnel.

Le présent avis est donc axé sur la proposition de règlement et notamment sur les points suivants:

1) L’applicabilité de la législation en matière de protection des données : le CEPD se félicite de l’attention spécifiquement accordée à la protection des données dans la proposition de règlement. Cependant, il suggère de reformuler la disposition, de sorte que l’applicabilité de la législation existante en matière de protection des données soit mise en exergue. En outre, la référence à la directive 95/46/CE devrait être explicitée en précisant que les dispositions s’appliqueront conformément aux règles nationales mettant en œuvre la directive 95/46/CE.

2) Les listes d’initiés : la proposition de règlement contient l’obligation pour les émetteurs d’un instrument financier ou les acteurs du marché des quotas d’émission d’établir une liste de toutes les personnes travaillant pour eux, en vertu d’un contrat de travail ou d’une autre manière, et ayant accès à des informations privilégiées.

Tout en reconnaissant la nécessité d’une telle liste et le fait qu’elle représente un outil important pour les autorités compétentes lorsqu’elles enquêtent sur d’éventuelles opérations d’initiés ou d’éventuels abus de marché, le CEPD recommande de mentionner explicitement la finalité d’une telle liste dans une disposition de fond de la proposition de règlement.

Le CEPD recommande également : i) d’intégrer les principaux éléments de la liste (en tout état de cause les raisons d’inclure des personnes sur une liste d’initiés) dans la proposition de règlement elle-même ; ii) d’intégrer une référence à la nécessité de consulter le CEPD dès lors que les actes délégués concernent le traitement de données à caractère personnel.

3) Les pouvoirs des autorités compétentes : le CEPD attire l’attention sur deux pouvoirs en particulier, en raison de leur nature attentatoire aux droits à la vie privée et à la protection des données: i) le pouvoir de pénétrer dans des locaux privés pour y saisir des documents sous quelque forme que ce soit et ii) le pouvoir de se faire remettre les enregistrements des échanges téléphoniques et de données existants.

Le CEPD recommande :

• d’introduire, concernant le pouvoir de pénétrer dans des locaux privés, l’obligation générale d’obtenir une autorisation judiciaire préalable;
• d’introduire, concernant le pouvoir de se faire remettre les enregistrements d’échanges téléphoniques et de données, l’obligation générale d’obtenir une autorisation judiciaire préalable ainsi qu’une décision officielle précisant: i) la base juridique, ii) l’objet de la demande, iii) les informations demandées, iv) le délai dans lequel les informations doivent être communiquées et v) le droit du destinataire de faire réexaminer la décision par la Cour de justice ;
• de préciser les catégories des enregistrements d’échanges téléphoniques et de données détenus par un opérateur de télécommunications et par une entreprise d’investissement que les autorités compétentes peuvent demander. Ces données doivent être adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont consultées et traitées ;
• de limiter l’article 17, paragraphe 2, point f), aux données normalement traitées («détenues») par des opérateurs de télécommunications dans le cadre de la directive 2002/58/CE «vie privée et communications électroniques».

4) Les systèmes de détection et de signalement des transactions suspectes : la proposition de règlement dispose que toute personne qui organise ou exécute des transactions sur des instruments financiers à titre professionnel dispose de systèmes de détection et de déclaration des ordres et des transactions qui pourraient constituer des opérations d’initiés, des manipulations de marché.

Dans la mesure où ces systèmes concerneront très probablement des données à caractère personnel, le CEPD recommande que ces normes soient élaborées selon le principe du «respect de la vie privée dès la conception», à savoir l’intégration de la protection des données et de la vie privée dès la création de nouveaux produits, services et procédures comportant le traitement de données à caractère personnel.

Le CEPD recommande en outre d’inclure une référence à la nécessité de consulter le CEPD dans la mesure où ces normes de réglementation concernent le traitement de données à caractère personnel.

5) L’échange d’informations avec des pays tiers : le CEPD note la référence à la directive 95/46/CE, plus particulièrement aux articles 25 ou 26 et les garanties particulières mentionnées à l’article 23 de la proposition de règlement concernant la communication de données à caractère personnel à des pays tiers.

6) La publication des sanctions : le CEPD est d’avis que la disposition sur la publication obligatoire des sanctions - telle qu’elle est actuellement formulée - ne respecte pas les droits fondamentaux au respect de la vie privée et à la protection des données.

Le législateur devrait évaluer attentivement la nécessité du système proposé et vérifier si l’obligation de publication va au-delà de ce qui est nécessaire pour réaliser l’objectif d’intérêt public poursuivi et s’il n’existe pas des mesures moins restrictives pour atteindre le même objectif.

Sous réserve du résultat de cette évaluation du critère de proportionnalité, l’obligation de publication devrait en tout état de cause être accompagnée de garanties adéquates pour garantir le respect de la présomption d’innocence, le droit d’opposition des personnes concernées, la sécurité/exactitude des données et leur effacement après un laps de temps approprié.

7) Le signalement des violations : l’article 29 de la proposition de règlement dispose que les États membres sont tenus de mettre en place des mécanismes efficaces visant à encourager le signalement des infractions (également appelés mécanismes de dénonciation).

Le CEPD souligne la nécessité d’introduire une référence spécifique à la nécessité de respecter la confidentialité de l’identité des dénonciateurs et des informateurs. Il recommande d’ajouter une disposition énonçant que: «l’identité de ces personnes doit être garantie à tous les stades de la procédure, à moins que sa communication ne soit requise par le droit national dans le contexte d’enquêtes ou de procédures judiciaires ultérieures».

Le CEPD constate avec satisfaction que la proposition dispose que les États membres garantissent la protection des données à caractère personnel concernant à la fois la personne qui signale des infractions et la personne accusée, conformément aux principes inscrits dans la directive 95/46/CE. Il suggère toutefois de remplacer les termes «conformément aux principes inscrits dans la directive 95/46/CE» par «conformément à la directive 95/46/CE», afin que la référence à la directive soit plus générale et contraignante.