Loi Pacte : les modalités de collecte des données des opérateurs de télécommunication précisées par décret

La loi Pacte du 22 mai 2019 offre à l’Autorité de la Concurrence un nouveau pouvoir d’enquête sur les pratiques anticoncurrentielles en l’autorisant à accéder – sous certaines conditions – aux données de connexion des opérateurs téléphoniques. Précisons que les données collectées portent uniquement sur “l’identification des personnes utilisatrices des services”, les “caractéristiques techniques des communications” (durée, appel/sms) et la “localisation des terminaux” mais en aucun cas sur le contenu des correspondances ou des recherches effectuées en ligne (art. L34-1 du Code des postes et des communications électroniques). La loi prévoit que les enquêteurs adresseront leurs demandes au nouvellement créé contrôleur des demandes de connexion.

Près de 6 mois plus tard, le très attendu décret n°2019-1247 du 28 novembre 2019 est donc venu préciser de cette demande d’autorisation, matérialisés par l’introduction de 5 nouveaux articles dans le Code de Commerce (art. R450-4 à R450-8).

Les enquêteurs doivent formuler leur demande par écrit et fournir les informations suivantes :

• Le nom de la personne suspectée d’avoir pris part aux pratiques anticoncurrentielles et de toute autre personne dont ils estiment la communication des données nécessaire à l’enquête ;
• Les types de données de connexion demandées pour chaque personne ;
• Les périodes sur lesquelles portent la demande de communication ;
• Les éléments de fait ou de droit permettant de justifier cette demande.

Ces éléments devront mettre le contrôleur des demandes de connexion en mesure de se prononcer sur la demande, le décret n’imposant à ce dernier aucun critère d’appréciation sur le fond. L’autorisation ou le refus sera délivré, par écrit également, sur la seule base des éléments “de fait et de droit” communiqués par les enquêteurs, quels qu’ils soient. Une formulation lacunaire qui ne permet pas d’anticiper avec précision les éléments d’espèce pouvant justifier la communication des données.

Autre point abordé, la conservation des données. Le décret précise simplement qu’elles seront conservées jusqu’à leur destruction “selon les modalités propres à garantir leur confidentialité”, les délais de destruction étant en tout état de cause d’ores et déjà prévus par la loi elle-même (art. L450-3-3). Il est également précisé que la destruction fera l’objet d’un procès-verbal versé au dossier. La CNIL a été consultée sur ce décret et, si elle n’a pas formulé de réserve sur le texte lui-même, a souligné dans son avis qu’elle pourra être amenée à être consultée ultérieurement sur le traitement des données collectées dans le cadre des enquêtes.

Loin de fournir des réponses aux enjeux soulevés par la Loi Pacte, ce décret pousse à s’interroger tant sur le respect des données personnelles que sur le respect des droits de la défense. En effet, ni la loi ni le décret ne prévoient la possibilité pour les personnes visées par les demandes de communication de les contester (que ce soit au moment du dépôt de la demande ou de la délivrance de l’autorisation). Et cela apparaît d’autant plus regrettable eu égard au manque de précision des critères de délivrance de l’autorisation : des accès abusifs aux données personnelles pourraient être à déplorer, ainsi qu’une absence de recours immédiat. Affaire à suivre donc.