Délibération n° 2019-131 du 7 novembre 2019 portant avis sur un projet de décret relatif à la procédure de communication des données de connexion aux agents mentionnés à l'article L. 450-1 du code de commerce (demande d'avis n° 19018629)

Chemin :




Article
ELI: Non disponible


Sur la proposition de M. François PELLEGRINI, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
1. L'article L. 450-3-3 du code de commerce prévoit que les agents des services d'instruction de l'Autorité de la concurrence (AdlC) et les fonctionnaires habilités par le ministre chargé de l'économie à procéder à des enquêtes peuvent, à des fins de recherche et de constatation des pratiques anticoncurrentielles, accéder aux données de connexion conservées et traitées par les opérateurs de télécommunication, dans les conditions et limites prévues à l'article L. 34-1 du code des postes et des communications électroniques et par les prestataires mentionnés aux 1 et 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, à savoir les fournisseurs d'accès à internet et les hébergeurs. Un magistrat du Conseil d'Etat ou de la Cour de cassation exerçant les fonctions de « contrôleur des demandes de données de connexion » est chargé d'autoriser au préalable les demandes d'accès émanant du rapporteur général de l'AdlC ou de l'autorité administrative en charge de la concurrence et de la consommation.
2. Le projet de décret dont la Commission a été saisie en urgence a pour objet de préciser, d'une part, les éléments devant figurer dans la demande d'autorisation adressée au contrôleur des demandes de données de connexion et, d'autre part, la procédure de destruction des données ainsi recueillies.
3. La Commission rappelle que les conditions d'accès aux données de connexion doivent s'inscrire dans le cadre, d'une part, de la décision du 8 avril 2014 de la Cour de justice de l'Union européenne (CJUE) et, d'autre part, de la décision n° 2015-715 DC du 5 août 2015 du Conseil constitutionnel qui a rappelé la nécessité d'assortir un tel accès par les agents de l'AdlC de « garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions ».
4. Dans la mesure où les données détenues par les opérateurs qui peuvent être demandées sont de plus en plus nombreuses et accessibles à un nombre de plus en plus important d'organismes, sur réquisitions judiciaires ou administratives ou en exécution d'un droit de communication, et ce pour des finalités très différentes, la Commission entend porter une attention particulière quant aux conditions dans lesquelles certaines autorités peuvent être amenées à accéder aux données de connexion détenues par les opérateurs de télécommunications, les fournisseurs d'accès à internet et les hébergeurs précités.
5. Dès lors, sans préjuger de la compatibilité du dispositif avec le cadre conventionnel, la Commission estime que la plupart des garanties en matière de protection des données à caractère personnel étant fixées par le législateur, le projet de décret n'appelle pas d'observation particulière de sa part.
6. Elle rappelle toutefois que les données traitées dans le cadre d'une demande de communication de données de connexion devront être strictement limitées aux personnes directement ou indirectement désignées dans la demande d'autorisation et nécessaires pour les besoins de l'enquête diligentée.
7. En tout état de cause, la Commission considère, qu'elle devra, en fonction de leurs caractéristiques, être saisie pour avis des traitements de données à caractère personnel qui seraient mis en œuvre à partir des données transmises conformément à l'article L. 450-3-3 du code de commerce. En particulier, elle rappelle que si ces traitements sont susceptibles d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, une analyse relative à la protection des données à caractère personnel (AIPD) devra être réalisée avant leur mise en œuvre.


Liens relatifs à cet article