Après en avoir délibéré le 28 janvier 2025,
1. Contexte de la saisine
La loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (ci-après « loi SREN ») désigne, à son article 36, l'ARCEP en tant qu'autorité nationale compétente en matière de services d'intermédiation de données, en application de l'article 13 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données (ci-après règlement sur la gouvernance des données »).
L'article 38 de la loi SREN renvoie à un décret simple la précision :
- d'une part, des conditions dans lesquelles l'ARCEP tient compte des observations du président de la CNIL sur les questions liées à la protection des données à caractère personnel dans le cadre de l'instruction des demandes de labellisation en tant que prestataire de services d'intermédiation de données reconnu dans l'Union européenne, ainsi que des réclamations formulées en application de l'article 27 du Règlement européen sur la gouvernance des données ;
- et d'autre part, des conditions dans lesquelles l'ARCEP communique à la CNIL toute information utile lui permettant de formuler ses observations éventuelles sur les questions liées à la protection des données personnelles dans le cadre des procédures d'enquête ou de sanction ouvertes par l'ARCEP.
L'article 36 de cette même loi prévoit que l'ARCEP est consultée sur les projets de lois et de décrets relatifs aux services d'intermédiation de données.
Par un courrier en date du 12 décembre 2024, enregistré à l'Autorité le 19 décembre 2024, le directeur général des entreprises a ainsi saisi l'ARCEP pour avis sur un projet de décret simple et sur un projet de décret en Conseil d'Etat pris pour l'application de l'article 38 de la loi SREN. Cette saisine a été amendée par un courrier en date du 24 janvier 2025, enregistrée par l'Autorité le 27 janvier 2025.
2. Présentation des dispositions qui font l'objet d'une saisine de l'ARCEP
Le projet de décret simple détaille les conditions dans lesquelles l'ARCEP recueille et tient compte des observations éventuelles du président de la CNIL lorsqu'elle traite :
- des demandes de labellisation formulées par les prestataires de services d'intermédiation de données en application du paragraphe 9 de l'article 11 du règlement sur la gouvernance des données ;
- des réclamations des personnes physiques ou morales ayant recours aux services d'intermédiation de données relatives au champ d'application du même règlement,
et dans le cadre des procédures d'enquêtes et de sanctions ouvertes en application de l'article 37 de la loi SREN.
Le projet de décret en Conseil d'Etat porte à quatre mois la durée prévue à l'article L. 231-1 du code des relations entre le public et l'administration pour l'application du principe « silence vaut acceptation » lorsque l'ARCEP statue sur des demandes de labellisation.
3. Observations de l'ARCEP
Concernant le projet de décret simple, l'ARCEP relève avec satisfaction que la souplesse qu'il aménage dans l'organisation de la coopération avec la CNIL favorisera une coordination agile dans les cas où l'activité des prestataires de services d'intermédiaires de données est susceptible d'impliquer l'utilisation de données personnelles. Il n'appelle à ce titre pas d'observations particulières de l'ARCEP.
Concernant le projet de décret en Conseil d'Etat, l'ARCEP est favorable à l'allongement du délai donnant naissance à une décision implicite d'acceptation à la suite d'une demande de labellisation, prévu par le projet de décret.
Le présent avis sera transmis au directeur général des entreprises et sera publié au Journal officiel de la République française.