Contrôle sur place des autorités de supervision bancaire et protection de la vie privée en droit franco-irlandais (à propos de l’arrêt de la Cour suprême irlandaise CRH plc v Competition and Consumer Protection Commission du 29 mai 2017 (IESC 34 [2017]))
L’arrêt de la Cour suprême irlandaise CRH plc v Competition and Consumer Protection Commission du 29 mai 2017 présente un dilemme qui fait rage en droit irlandais : la question de l’équilibre entre le contrôle sur place de l’Autorité de supervision et le droit au respect de la vie privée. Face au silence de la loi, la jurisprudence doit apporter des précisons, et ce, que ce soit en droit français ou en droit irlandais.
En droit irlandais, la Banque centrale, Central Bank of Ireland (CBI) est l’Autorité de supervision en charge de réguler les secteurs bancaire et financier. Pour ce faire, elle dispose de nombreux pouvoirs pour mener à bien sa mission, tel que le pouvoir de contrôle sur place lui permettant de collecter les informations requises par l’enquête (Breslin.J « Ireland : Regulatory powers of investigation »). En droit français, la supervision nationale est assurée par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) créée par une ordonnance du 21 octobre 2010. Elle a compétence sur les secteurs bancaire, financier et d’assurance et intervient uniquement sur le plan prudentiel dans le domaine de la conduite des affaires (Bonneau.T Droit Bancaire, 12ème édition, 2017).
Cependant, la législation irlandaise semble incomplète en comparaison, nonobstant la ratification par l’Irlande de la Convention européenne des droits de l’Homme qui consacre dans son article 8 le « droit au respect de la vie privée et familiale ». En effet, malgré l’existence d’une protection accordée aux personnes contrôlées, le « Legal Professional Privilege » (« LLP »), la législation irlandaise est imparfaite quant à la protection des informations personnelles ainsi qu’au droit au respect de la vie privée. Par conséquent, le « LLP », notion propre au droit irlandais qui se rapprocherait du secret professionnel, est sujet à de houleux débats. C’est dans ce contexte que la Cour Suprême Irlandaise a rendu son arrêt CRH plc v Competition and Consumer Protection Commission (l’arrêt) le 29 mai 2017.
En l’espèce, le 14 mai 2015, deux agents de la « Competition and Consumer Protection Commission », accompagnés par deux policiers, sont entrés dans les locaux d’une entreprise pour y rechercher des informations conformément au « Competition and Consumer Act 2014 ». La fouille portait sur 5 ordinateurs, dont celui du directeur, et a entrainé la saisie de la totalité des courriels de ce dernier. La question posée à la « High Court » était de savoir si cette saisie était conforme à la Section 37 de la loi précitée ainsi qu’en accord avec les droits garantis par la Constitution. De même, une interprétation du LPP a aussi été demandée. La « High Court » a jugé la saisie comme contraire à la loi et au respect de la vie privée garantie par la Constitution et la Section 3 de l’« European Convention on Human Rights Act 2003 » car l’article 8 de la Convention Européenne des Droits de l’Homme relatif au respect de la vie privée et familiale n’a pas été respecté. La Commission a interjeté appel. Les trois juges de la Cour suprême en charge de l’affaire ont unanimement confirmé la position de la « High Court ».
Ainsi, il apparaît que les agents en charge du contrôle sur place ne peuvent réaliser des recherches sans rapports avec l’enquête et doivent respecter le droit à la vie privée. D’ailleurs, J. Breslin, dans son article « Ireland : Regulatory powers of investigation » affirme que cette décision s’applique légitimement aux agents nommés par la « CBI » conformément au Central Bank Supervision and Enforcement Act 2013 « CBSEA 2013 ».
Dès lors, la Cour Suprême souligne les lacunes du pouvoir de contrôle de la « CBI » (I) tout en faisant face aux incertitudes de la loi quant à la portée du droit au respect de la vie privée (II).
I. Les lacunes du pouvoir de contrôle de la banque centrale irlandaise révélées par la Cour Suprême
La « CBI » dispose de pouvoirs de contrôle qui lui sont conférés par la loi (A). Néanmoins, certains de ces pouvoirs sont sujets à des lacunes à l’image de la compétence des agents de contrôle (B).
A. Le pouvoir de contrôle de l’Autorité de supervision
En droit irlandais, la CBI jouit d’un pouvoir de contrôle qui prend la forme de rapports périodiques de la part des établissements, de réunions « informelles » entre son personnel et les directeurs des établissements, ou encore d’un pouvoir d’enquête des agents afin de procéder à des contrôles sur place (Breslin.J Banking Law, 4th edition 2019).
En droit français, les dispositions relatives à l’ACPR se trouvent aux articles L612-1 et suivants et R612-2 et suivants du Code monétaire et financier (CMF). D’ailleurs en vertu de l’article L612-1 I du CMF, l’ACPR « veille à la préservation de la stabilité du système financier et à la protection des clients, assurés, adhérents et bénéficiaires des personnes soumises à son contrôle ». Elle dispose de pouvoirs de contrôle, de prendre des mesures de police administrative ainsi que des sanctions disciplinaires. Son secrétaire général organise les contrôles sur pièces et sur place conformément aux priorités définies par le collège de supervision sur sa proposition (Lasserre Capdeville et alii, Droit bancaire, 1ère édition, 2017). En outre, les contrôles sur place sont régis par la « Charte de conduite d’une mission de contrôle sur place », qui n’a cependant qu’une vocation purement informative (Lasserre Capdeville et alii Droit bancaire, 1ère édition, 2017).
En Irlande, le pouvoir d’enquête est déterminé par les Points 3 et 4 du CBSEA 2013. Il consiste à nommer un agent qui, après la délivrance d’un mandat par le juge de la « District court », peut enquêter dans les locaux d’un établissement (Breslin.J, Banking Law, 4th edition 2019). De plus, depuis l’arrêt de la « Hight Court» Independent News and Media plc v Director of Corporate Enforcement (2018), l’Autorité de supervision n’est pas obligée d’informer un établissement de son intention de nommer des agents pour contrôler son activité.
En droit français, il n’est pas question de mandat mais d’un programme de contrôle organisé par le secrétaire général de l’ACPR qui « établit une liste des personnes devant faire l’objet d’un contrôle sur place » (Lasserre Capdeville et alii, Droit bancaire, 1ère édition, 2017). Enfin, les contrôles sur place peuvent avoir un caractère général (concernent l’ensemble des activités de la personne contrôlée) ou thématique (limité à une ligne de métiers ou à un type de risque) (Lasserre Capdeville et alii, Droit bancaire, 1ère édition, 2017).
Ainsi, dans ces deux pays, les contrôles sur place sont réalisés par des agents nommés par les Autorités de supervision. Ce sont les fonctions de ces agents qui sont largement définies et qui requièrent une interprétation.
B. Les largesses de la loi soulignée par la Cour Suprême quant aux pouvoirs des agents de contrôle
En droit irlandais, les pouvoirs donnés à l’agent de contrôle sont relativement étendus. Dans le cas d’espèce, le mandat délivré stipule que l’agent peut effectuer ses recherches dans tous les bâtiments et les véhicules de l’entreprise en vertu de ses pouvoirs garantis par la section 37 du « Competition & Consumer protection Act 2014 » (§7 de l’arrêt). L’arrêt démontre que l’absence de précision quant au cadre des fouilles conduit les agents à user intempestivement des pouvoirs qui leurs sont conférés.
Conformément à la section 27 du CBSEA 2013 l’agent de contrôle dispose du pouvoir d’obtenir des informations par le biais de fouilles dans les documents et fichiers informatiques, de saisies de documents, en prenant part aux réunions de l’établissement contrôlé ou en demandant au personnel de l’établissement de lui fournir des informations. Cependant, aucune disposition ne fait référence au droit au respect de la vie privée, ce qui confère a priori un pouvoir considérable aux agents. C’est pourquoi, en l’espèce, le matériel saisi contient des informations privées et sans rapport avec l’enquête.
En droit français, les personnes chargées du contrôle sur place doivent être habilitées en vertu de l’article R612-22 du CMF. Le déroulement de la mission de contrôle est décidé par le chef de mission conformément au cadre fixé par le secrétaire général de l’ACPR. Dans le cadre de leur mission, les contrôleurs de l’ACPR ont un droit d’accès aux locaux professionnels de la personne contrôlée (Lasserre Capdeville et alii, Droit bancaire, 1ère édition, 2017). D’ailleurs, dans l’arrêt Caisse d’épargne et de prévoyance de Languedoc Roussillon en date du 20 janvier 2016, le Conseil d’Etat a jugé que « le droit au respect du domicile garanti à l’article 8 de la CEDH s’appliquait également, dans certaines circonstances, aux locaux professionnels où les personnes morales exercent leurs activités ». Ainsi, le droit français, par le biais de sa jurisprudence apparaît plus protecteur vis-à-vis des personnes contrôlées que le droit irlandais.
En outre, à l’image du droit irlandais, les agents de contrôles accrédités en France « peuvent demander à la personne contrôlée tout renseignement, éclaircissement ou justification nécessaires à l’exercice de leur mission » (Lasserre Capdeville et alii, Droit bancaire, 1ère édition, 2017). A cette fin, ils doivent disposer de tous les documents utiles à leurs vérifications et peuvent en obtenir des copies (article R612-26 CMF) sans que le secret professionnel ne leur soit opposable (article L612-44 CMF). Ils doivent se conformer « aux règles de protection des données, des systèmes d’information et des accès physiques qui leur sont communiqués par les personnes contrôlées » et doivent s’abstenir de « tout usage abusif des matériels et accès dont la mise à disposition est sollicitée pour les besoins de leur mission » (IV-1.2.3 Charte de conduite d’une mission de contrôle). De plus, les contrôleurs peuvent mener des entretiens avec les dirigeants de l’établissement contrôlé. Enfin les contrôleurs doivent veiller à éviter toute situation qui pourrait les placer en situation de conflit d’intérêts et sont tenus au secret professionnel (article L641-1 CMF).
En fin de compte, le droit irlandais, à l’image du droit français (qui paraît néanmoins plus protecteur), semble manquer de précision concernant l’étendue des pouvoirs des agents de contrôle. Ainsi, de nombreuses interrogations surgissent, notamment quant au respect de la vie privée des personnes contrôlées.
II. La Cour Suprême face aux incertitudes sur le droit au respect de la vie privée
La protection accordée aux personnes contrôlées connu sous le nom de « LPP » est insatisfaisante selon la Cour suprême (A) de telle sorte que le droit au respect de la vie privée se retrouve en danger (B).
A. Le « Legal Professional Privilege », une protection insatisfaisante selon la Cour suprême
Le droit irlandais accorde un privilege (immunité) appelé LLP aux personnes contrôlées, ce qui leur permet, en vertu de la Section 33 du CBSEA 2013, de taire certaines informations. Ainsi, si le LLP est invoqué, la CBI doit saisir dans les 6 mois la « High Court » pour déterminer si l’information est bien sujette à ce privilege. Si la Cour juge que l’information n’est pas soumise à ce privilege, elle doit être fournie à la CBI. Néanmoins, la loi demeure contestable en la matière, ce que ne manque pas de constater la Cour suprême en affirmant que l’imprécision de la loi concernant les informations non-légalement protégées donne lieu à des incohérences juridiques (§52 de l’arrêt). De ce fait, une personne faisant l’objet d’un contrôle illégal est obligée d’avoir recours au juge pénal (Arrêt Foley and D2 Private Ltd v Workplace Relations Commission, 2016 High Court).
En droit français, le principe du LLP n’existe pas en tant que tel. Il se rapproche néanmoins du secret professionnel défini par l’article 226-13 du Code pénal comme « la révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire ». En France, la protection d’un document n’est donc pas déterminée par son contenu mais par la fonction de son auteur. La relation entre saisie dans le cadre d’une enquête et secret professionnel a été précisée par la chambre criminelle de la Cour de cassation dans son arrêt du 24 avril 2013 qui affirme que la saisie en masse de documents est valide malgré la présence de documents confidentiels qui, s'ils sont protégés par le secret professionnel, doivent en être écartés.
Finalement, le privilege accordé par la loi irlandaise est vague et ne semble pas satisfaire les exigences de protection des personnes contrôlées notamment au vu de leur vie privée.
B. Le droit au respect de la vie privée source de défaillances et d’interrogations
Le respect de la vie privée permet selon la Cour suprême, de trier les informations issues d’un compte mail pour ne garder que celles utiles à l’enquête (Breslin.J, Banking Law, 4th edition 2019). D’ailleurs la Cour rappelle que le droit au respect de la vie privée est garanti par l’article 40.3 de la Constitution. Ce droit a été reconnu pour la première fois dans l’arrêt McGee v The Attorney General (1974) (§55 de l’arrêt) et a été consolidé par l’arrêt Norris v AG (1984). C’est donc la jurisprudence qui encadre le droit au respect de la vie privée conformément aux évolutions sociétales (nouvelles technologies, nouveaux crimes…).
En outre, la Cour refuse de considérer le LPP comme étant supérieur au droit au respect de la vie privée (§58 de l’arrêt). Néanmoins, elle souligne que la loi délimite le cadre du LPP contrairement au droit au respect de la vie privée qui souffre d’une absence de limites (§58 de l’arrêt).
En France, c’est l’article 9 du Code civil qui consacre le droit au respect de la vie privée. Les limites relatives à ce droit sont tout aussi étendues étant donné que ni les dispositions relatives aux droits des personnes contrôlées, ni la Charte de conduite d’une mission de contrôle sur place n’y font référence.
De plus, la Cour suprême admet que l’article 8 de la Convention européenne des droits de l’Homme permet aux individus de ne pas être soumis à des fouilles illégales (§81 de l’arrêt). Dès lors, une incursion arbitraire et disproportionnée dans la vie privée des individus, comme en l’espèce, viole cet article (§81 de l’arrêt). Mais encore, elle précise que la jurisprudence de la Cour de Justice de l'Union européenne est utile mais pas déterminante pour le cas d’espèce (§115 de l’arrêt). A titre d’exemple, la Cour suprême s’est inspirée de la manière dont la Cour de Justice a appréhendé la saisie de documents dans son arrêt C-583/13 du 18 juin 2015 (§116 de l’arrêt).
En conclusion, la décision de la Cour suprême clarifie le pouvoir des agents de contrôle lors de la saisie de documents. Elle note l’absence de mécanisme relatif à la protection du droit à la vie privée. L’arrêt souligne donc un silence de la loi au détriment des personnes contrôlées. Le privilège en vigueur (LLP) ne semble plus suffisant pour garantir la protection des personnes contrôlées, notamment dans le secteur bancaire même si rappelons-le, l’arrêt intervient dans le domaine du droit de la concurrence. Cet encadrement insuffisant en droit irlandais (particulièrement en droit bancaire) se retrouve dans une moindre mesure en droit français. En effet, secret professionnel et vie privée sont protégés bien que le cadre des saisies soit large. Ainsi, que ce soit en France ou en Irlande, la jurisprudence joue un rôle prépondérant quant à la délimitation des missions de contrôle.
Bibliographie :
Ouvrages :
Bonneau.T, Droit Bancaire, 13ème édition, LGDJ 2019
Lasserre Capdeville.J et alii, Droit bancaire, 2ème édition, Précis Dalloz 2019
Breslin.J, Banking Law, 4th edition, Round Hall Ltd 2019
Articles :
Breslin.J « Ireland: Regulatory powers of investigation », International Financial Law Review 1/15/2018
DLA Piper, “Legal Professional Privilege, Global Guide” 5th Edition 2019, 6 May 2019
Arrêts :
Conseil d’Etat, 20 janvier 2016 n°374950, Caisse d’épargne et de prévoyance de Languedoc Roussillon
Cour de cassation, chambre criminelle, 24/04/2013, pourvoi 12-80336
Independent News and Media plc v Director of Corporate Enforcement, 2018 (IEHC 488 [2018])
Foley and D2 Private Ltd v Workplace Relations Commission, 2016 (IEHC 585 [2016])
McGee v The Attorney General (1974) IR 284
Norris v AG (1984) IR 36
CJUE, 18 juin 2015, C-583/13 P Deutsche Bahn A.G. v European Commission