L’article L. 521-10 du Code monétaire et financier issu de la loi du 26 juillet 2013 accordait aux enquêteurs et contrôleurs de l’AMF le droit de se faire communiquer dans toute affaire les données conservées par les opérateurs de télécommunication et d’internet, mais le Conseil constitutionnel avait estimé que cette disposition n’était pas assortie de garanties suffisantes pour assurer le respect de la vie privée (Décision du 21 juillet 2017, n° 2017-646/647). Cependant, pour ne pas mettre à mal les procédures en cours et permettre au législateur d’intervenir, le Conseil avait reporté au 31 décembre 2018 l’entrée en vigueur de sa décision. L’intervention législative est venue de la loi du 24 octobre 2018 relative à la lutte contre la fraude, qui a inséré un article L. 621-10-2 dans Code monétaire et financier. Celui-ci crée un « contrôleur des demandes de données de connexion », qui sera chargé d’accorder les autorisations préalables. Ce contrôleur sera, en alternance, un membre du Conseil d’État et de la Cour de cassation, en activité ou honoraire. Le texte restreint le droit de lui demander une autorisation aux seuls abus de marché – là où le précédent était très général – et aux seuls enquêteurs – et non plus aux contrôleurs comme auparavant.
De nombreuses garanties ont été prévues. Le contrôleur aura un statut assurant son indépendance : il sera élu par l’assemblée générale de sa juridiction et nommé pour quatre années non renouvelables, bénéficiera d’une inamovibilité puisqu’il ne pourra être mis fin à ses fonctions que sur sa demande ou en cas d’empêchement constaté par l’un des plus hauts magistrats de sa juridiction sur saisine du ministre de l’Économie, ne pourra pas recevoir ou solliciter d’instruction de l’AMF ni d’aucune autre autorité, et sera tenu au secret professionnel. La demande du Secrétaire général de l’AMF devra être motivée et comporter les éléments de nature à en justifier le bien-fondé, et les données ainsi obtenues ne pourront être utilisées que pour l’enquête qui aura servi de fondement à la demande ; au surplus, elles devront être détruites au terme d’un délai réduit. L’autorisation donnée par le contrôleur sera versée au dossier d’enquête, de sorte que la personne concernée en aura connaissance en cas d’ouverture d’une procédure de sanction ou de composition administrative.
Ce nouveau « contrôleur des données », dont l’idée trouve certainement sa racine dans l’esprit du RGPD, présente trois caractéristiques principales : il s’agit d’un magistrat ; il ne s’agit cependant pas d’un juge remplissant une fonction juridictionnelle ; il s’agit d’une entité dotée d’une réelle indépendance. On pourrait sans doute y voir une autorité administrative indépendante. Le choix a donc été celui de l’efficacité et de la célérité, ce qui se comprend. Mais respecte-t-il l’équilibre exigé par le Conseil constitutionnel entre le droit au respect de la vie privée et la prévention des atteintes à l’ordre public et la recherche des auteurs d’infractions ? Aucun recours n’est prévu en cas de dépassement des limites ou d’inobservation des conditions de saisine et d’intervention du contrôleur. La Commission des sanctions y veillera certainement, mais longtemps après et à condition qu’elle soit saisie d’une procédure de sanction ou appelée à homologuer une composition administrative.
