L’accès aux données de connexion dans le cadre d’enquêtes de concurrence : un nouveau pouvoir contestable ?

La loi PACTE du 22 mai 2019 a accordé aux enquêteurs de concurrence la possibilité d’accéder aux données de connexion, dans des conditions qui viennent d’être précisées a minima par le décret du 28 novembre 2019. Ce nouveau pouvoir suscite des interrogations quant à sa conventionnalité et au caractère suffisant des garanties apportées.

La loi PACTE du 22 mai 20191 a introduit un nouvel article L.450-3-3 dans le code de commerce prévoyant la possibilité pour l’Autorité de la concurrence ou l’autorité administrative chargée de la concurrence et de la consommation, dans le cadre de leurs enquêtes contentieuses, d’accéder aux données de connexion conservées par les opérateurs de communication électroniques (« opérateurs CE »), les hébergeurs et les fournisseurs d’accès à Internet (« FAI ») moyennant l’obtention d’une autorisation préalable d’un contrôleur des demandes de données de connexion (ci-après « CDDC »).

Après trois tentatives infructueuses, les enquêteurs se voient ainsi dotés de ce nouveau pouvoir qui, selon la Présidente de l’Autorité de la concurrence (« ADLC »), constitue un « atout supplémentaire précieux pour l’efficacité des enquêtes» permettant de faire face aux moyens toujours plus sophistiqués de dissimulation utilisés par certaines entreprises.

Le décret n°2019-1247 du 28 novembre 20191 est venu en préciser les modalités de mise en œuvre. Ce nouveau pouvoir ne pourra cependant être exercé qu’une fois le CDDC nommé.

Quelles sont les garanties procédurales prévues ?

  • Le principe de l’autorisation préalable
  • La principale garantie prévue est la nécessité même d’obtenir une autorisation préalable auprès du CDDC avant tout accès à ces données par les enquêteurs. Cette autorisation peut être sollicitée par le rapporteur général de l’ADLC, le directeur général de la DGCCRF, le chef du service national des enquêtes de la DGCCRF ou son représentant, le directeur régional de la DIRECCTE ou, dans les régions et départements d’Outre-mer, celui de la DIECCTE.

    Le CDDC sera alternativement un membre du Conseil d’Etat et un magistrat de la Cour de cassation, nommé pour une durée de quatre ans non renouvelable. En vue d’assurer son indépendance, il ne pourra être mis fin à ses fonctions que sur sa demande ou en cas d’empêchement constaté et il ne pourra ni recevoir ni solliciter aucune instruction de l'ADLC ou de l'autorité administrative chargée de la concurrence et de la consommation, ni d'aucune autre autorité dans l'exercice de sa mission.

  • Le contenu minimal de la demande d’autorisation
  • La demande d’autorisation doit être motivée par les éléments recueillis par les enquêteurs laissant présumer l'existence d'une pratique anticoncurrentielle et justifiant l'accès aux données de connexion pour les besoins de l'enquête. Le nouvel article R.450-4-1, du code de commerce précise seulement que cette demande d’autorisation doit être formulée par écrit et identifier les personnes concernées, les données et la période visées, sans, malheureusement, développer la nature des éléments susceptibles de motiver la demande sur le fond.

    Les enquêteurs pourront formuler des demandes complémentaires et toutes les demandes devront être transmises par tout moyen permettant d’en assurer la confidentialité et d’en attester la réception.

  • L’utilisation des données de connexion et le principe de leur destruction
  • Les données de connexion communiquées ne peuvent être utilisées que dans le cadre exclusif de l’enquête pour laquelle l’autorisation d’accès a été obtenue et doivent être recueillies et conservées selon des modalités propres à assurer leur confidentialité.

    Sans préjuger de la compatibilité du dispositif issu du décret avec le cadre conventionnel, la CNIL1 constate que « les données détenues par les opérateurs qui peuvent être demandées sont de plus en plus nombreuses et accessibles à un nombre de plus en plus important d’organismes ». Eu égard à la nature de ces données, la CNIL portera une attention particulière sur les conditions de cet accès, en particulier au regard des personnes visées, des traitements de données à caractère personnel mis en œuvre à partir des données de connexion communiquées ou encore de la nécessité d’une analyse relative à la protection des données à caractère personnel (AIPD) avant leur mise en œuvre et en cas de risque élevé pour les droits et les libertés des personnes physiques. Les traitements de données à caractère personnel devraient en pratique être fréquents dès lors que les adresses IP constituent de telles données1.

    Les données de connexion, ainsi que les demandes d’autorisation et les autorisations accordées, devront ensuite être détruites :

    - Soit à l’expiration d’un délai de six mois à compter d’une décision devenue définitive de l’Autorité de la concurrence, de l'autorité administrative chargée de la concurrence et de la consommation ou de la juridiction judiciaire ou administrative ;

    - Soit, pour les données de connexion relatives à des faits ne faisant pas l'objet de poursuites, à l'expiration d'un délai d'un mois à compter de la décision du rapporteur général de l'Autorité de la concurrence ou de l'autorité administrative chargée de la concurrence et de la consommation, de la juridiction judiciaire ou administrative, sans préjudice de leur transmission au procureur de la République en application de l'article 40 du code de procédure pénale.

    La destruction des données, de ces demandes et autorisations devra être consignée dans un procès-verbal.

    Quelles sont les données concernées ?

    Le nouveau pouvoir d’enquête vise, selon l’article L.450-3-3, I, du code de commerce, « l'accès aux données conservées et traitées par les opérateurs de télécommunication, dans les conditions et sous les limites prévues à l'article L. 34-1 du code des postes et des communications électroniques [ci-après « CPCE »], et par les prestataires mentionnés aux 1 et 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique » (ci-après « LCEN »), i.e. les hébergeurs et les fournisseurs d’accès à internet (« FAI ») 1.

    En vertu de l’article L.34-1 du CPCE, les opérateurs CE doivent, par exception au principe de l’anonymat des données de trafic, conserver certaines données techniques pour les besoins de la recherche, de la constatation et de la poursuite d’un certain nombre d’infractions et uniquement pour être mise à disposition de certaines autorités. Les données concernées ne peuvent porter que « sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux » à l’exclusion du « contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications ». Les hébergeurs et les FAI sont quant à eux tenus, en vertu de l’article 6, II, de la LCEN, de détenir et conserver « les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires ». Ces données1 doivent être conservées pendant un an à compter de leur enregistrement, de la création de contenu, de la résiliation du contrat ou de la fermeture du compte ou de la date d’émission de la facture ou de l’opération de paiement.

    Le nouveau pouvoir conféré aux enquêteurs de concurrence peut donc concerner un champ très large de données techniques relatives au trafic concernant la téléphonie fixe, mobile ou par internet, l’accès à internet ou encore les courriers électroniques par Internet.

    Ce dispositif est-il conforme au droit européen et à la Constitution ?

    La nécessité d’obtenir une autorisation préalable par le CDDC répond à l’exigence de contrôle préalable par une juridiction ou une autorité administrative indépendante posée tant par la Cour de Justice de l’Union européenne1 que par le Conseil Constitutionnel1.

    Cependant, ce dispositif se heure à d’autres difficultés. En effet, en vertu de la jurisprudence européenne, l’ingérence dans les droits au respect de la vie privée et de la protection des données personnels garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne que constitue la conservation généralisée de données de connexion doit, d’une part, être justifiée par un objectif d’intérêt général et, d’autre part, être proportionnée à l’objectif poursuivi.

    S’agissant de l’objectif d’intérêt général reconnu par l’Union, la CJUE a considéré qu’« en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, seule la lutte contre la criminalité grave est susceptible de justifier un tel accès aux données conservées» 1, ce qui n’est pas le cas, selon l’avocat général1, de la lutte contre les infractions simples ou le bon déroulement de procédures non pénales.

    Or, la lutte contre les pratiques anticoncurrentielles ne s’inscrit pas dans le cadre d’une procédure pénale, à l’exception de la mise en œuvre de l’article L.420-6 du code de commerce1. Bien que le nouveau pouvoir accordé aux autorités de concurrence soit limité aux enquêtes contentieuses, et donc aux infractions les plus graves, on peut s’interroger sur l’existence d’un objectif d’intérêt général reconnu par l’Union dans le cadre de ce dispositif : la lutte contre les pratiques anticoncurrentielles peut-elle être considérée, à l’instar de la lutte contre le terrorisme, comme visant à la sécurité publique et donc le droit à la sûreté des citoyens?

    Quant au caractère nécessaire de l’accès prévu pour atteindre cet objectif, les textes ne distinguent pas selon la gravité des infractions aux règles de concurrence et ne prévoient pas de critères objectifs permettant de considérer les éléments fournis par les enquêteurs comme suffisants pour justifier un accès aux données de connexion. En outre, le caractère indispensable de ce nouveau pouvoir, alors même que l’ADLC dispose déjà, avec la clémence, d’un moyen redoutablement efficace pour obtenir des informations sur les infractions secrètes, reste à démontrer.

    Enfin, la conformité de l’obligation de conservation générale et indifférenciée des données de connexion imposée aux opérateurs CE, aux hébergeurs et aux FAI par le CPCE et la LCEN avec la Charte des droits fondamentaux de l’Union européenne est elle-même débattue et fait l’objet de deux questions préjudicielles posées par le Conseil d’Etat1.

    Par ailleurs, l’un des arguments soulevés dans le passé devant le Conseil constitutionnel quant à l’absence de sanctions en cas de divulgation des informations obtenues n’a pas été pris en compte : l’absence d’examen spécifique par le Conseil constitutionnel des dispositions de la loi Pacte relative à ce nouveau pouvoir1 pourrait laisser la porte ouverte à d’éventuelles questions prioritaires de constitutionnalité.

    Ce dispositif prévoit-il des droits de la défense suffisants ?

    A l’instar de l’Autorité des marchés financiers, ce nouveau pouvoir fait l’objet d’un régime d’autorisation par le CDDC dissocié de l’autorisation des opérations de visite et de saisies par le juge des libertés et de la détention. L’autorisation accordée par le CDDC sera, en vertu de l’article L.450-3-3 du code de commerce, versée au dossier d’enquête et ne sera donc soumise au principe du contradictoire que s’il y a notification de griefs.

    Il est regrettable que les personnes concernées ne se voient pas reconnaître la possibilité de contester la demande d’accès aux données de connexion avant ou au moment où cet accès est accordé, d’autant plus que les textes fournissent très peu de précisions sur les éléments qui pourraient être jugés suffisants pour l’autoriser. Ainsi, un éventuel recours contre un accès abusif ne pourra être exercé que plusieurs années après la violation des données personnelles qui en résulte et uniquement si un recours au fond est exercé contre la décision de l’Autorité, ce qui pose la question de son effectivité au regard de la jurisprudence de la CEDH1.

    Les textes ne prévoient par ailleurs aucune précaution quant à la protection du secret professionnel, alors même que les données de connexion couvertes par celui-ci sont particulièrement sensibles au regard des droits fondamentaux1. Les textes n’apportent d’ailleurs aucune précision quant aux sanctions applicables en cas de violation des garanties qu’ils prévoient.

    Les données de connexion visent l’ensemble des moyens de communication électroniques, alors même que leur importance est croissante dans la vie quotidienne et privée de chacun, et l’accès non autorisé à des données personnelles constitue une violation de données à caractère personnel, en lui-même et quelle que soit l’utilisation ultérieure des données1. Alors que la protection des données personnelles constitue un enjeu de plus en plus important pour les citoyens et les entreprises, on peut regretter que l’encadrement de l’accès aux données de connexion dans le cadre d’enquête de concurrence n’ait pas été plus détaillé, en particulier quant aux éléments susceptibles de justifier sa mise en œuvre.

    1 Loi n°2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises, dite loi PACTE, JORF n°119 du 23 mai 2019, article 212.

    1 Décret n° 2019-1247 du 28 novembre 2019 relatif à la procédure de communication des données de connexion aux agents mentionnés à l'article L. 450-1 du code de commerce, JORF n°277 du 29 novembre2019.

    1 Délibération n° 2019-131 du 7 novembre 2019 portant avis sur un projet de décret relatif à la procédure de communication des données de connexion aux agents mentionnés à l’article L. 450-1 du code de commerce (demande d’avis n° 19018629), JORF n°277 du 29 novembre 2019.

    1 CJUE 19 oct. 2016, Patrick Breyer, aff. C-582/14.

    1 Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, JORF n°143 du 22 juin 2004 p. 11168, dont l’article 6 a été modifié en dernier lieu par l’article 29 de la loi n°2018-898 du 23 octobre 2018 relative à la lutte contre la fraude, JORF n°246 du 24 octobre 2018.

    1 Le détail des données concernées est fixé par les articles R10-13 du CPCE et 1 du décret n°2011-219 du 25 février 2011.

    1 CJUE, 8 avril 2014, C 293/12 et C 594/12, Digital Rights Ireland Ltd ; 21 décembre 2016, aff. C-203/15, Tele 2 Sverige AB.

    1 Décision du Conseil constitutionnel n°2015-715 du 5 août 2015 – Loi pour la croissance, l’activité et l’égalité des chances économiques. Le dispositif permettant l’accès aux données de connexion par l’AMF avait également été sanctionné pour les mêmes raisons (Décision n°2017-646/647 QPC du 21 juillet 2017).

    1 CJUE, 21 décembre 2016, aff. C-203/15, Tele 2 Sverige AB, point 115.

    1 Conclusions de l’avocat général M. Saugmandsgaard Øe présentées le 19 juillet 2016, Aff. jtes C 203/15 et C 698/15 Tele2 Sverige AB.

    1 En vertu de cet article, les personnes physiques ayant pris frauduleusement une part personnelle et déterminante dans la conception, l’organisation ou la mise en œuvre d’une pratique anticoncurrentielle encourent une peine d’emprisonnement de quatre ans et une amende de 75 000 euros.

    1 Conseil d’Etat, 26 juillet 2018, requête n°393099, saisi d’une demande d’abrogation de l’article R.10-13 du CPCE et du décret n°2011-2019 quant au caractère justifié de l’obligation de conservation généralisée et indifférenciée (Demande de décision préjudicielle présentée par le Conseil d'État (France) le 3 août 2018 – French Data Network, La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs / Premier ministre, Garde des Sceaux, ministre de la Justice (Affaire C-512/18)).

    1 Décision du Conseil constitutionnel n° 2019-781 DC du 16 mai 2019 – Loi relative à la croissance et la transformation des entreprises.

    1 CEDH, 5e sect., 21 déc. 2010, aff. Sté Canal Plus et a., req. n° 29408/08 et aff. Cie des gaz de pétrole Primagaz, req. n° 29613/08.

    1 Conclusions de l’avocat général M. Saugmandsgaard Øe présentées le 19 juillet 2016, Aff. jtes C 203/15 et C 698/15 Tele2 Sverige AB, point 212.

    1 Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOUE L 119, 4 mai 2016 p.1.