Publié le 30 septembre 2023 par : M. Midy, Mme Morel.
I. – À titre expérimental et pour une durée de cinq ans, pour les besoins de la recherche des manquements et infractions mentionnés aux articles L. 573‑1, L. 573‑7, L. 573‑9, L. 573‑12, L. 573‑15, L. 572‑23, L. 572‑24, L. 572‑27, L. 573‑8 et L. 572‑28 du code monétaire et financier, l’Autorité des marchés financiers peut collecter et exploiter au moyen de traitements informatisés et automatisés n’utilisant aucun système de reconnaissance biométrique les contenus publiquement accessibles et manifestement rendus publics par leurs auteurs sur les interfaces des personnes dont l’activité est d’éditer un service de communication au public en ligne mentionnées au I de l’article 1er de la loi n° 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique, y compris lorsque l’accès à ces contenus nécessite l’inscription la connexion à un compte. Aucune décision ne peut être fondée exclusivement sur ces traitements automatisés.
L’Autorité des marchés financiers dispose également des moyens mentionnés au premier alinéa du présent I sur les interfaces des personnes dont l’activité est d’éditer un service de communication au public en ligne mentionnées au I de l’article 1er de la loi n° 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique, aux fins de détection des manquements et infractions d’abus de marché mentionnés aux articles 8, 10, 12, 14 et 15 du règlement (UE) n° 596/2014 du Parlement européen et du Conseil du 16 avril 2014 sur les abus de marché.
II. – Les traitements mentionnés au I sont mis en œuvre par des personnels habilités par le secrétaire général en vue de procéder à la recherche des manquements mentionnés au même I. Les données à caractère personnel issues des traitements mentionnés audit I ne peuvent faire l’objet d’une opération de collecte, de traitement et de conservation de la part d’un sous-traitant, à l’exception de la conception des outils de traitement des données.
À l’occasion de l’engagement des opérations de collecte mentionnées au I, l’Autorité des marchés financiers transmet à la Commission nationale de l’informatique et des libertés la liste des opérations de collecte engagées afin de faciliter la mise en œuvre par la Commission des vérifications mentionnées au g du I de l’article 8 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Les données sensibles, au sens du I de l’article 6 de la même loi n° 78‑17 du 6 janvier 1978 , et les autres données manifestement sans lien avec les infractions mentionnées au premier alinéa du I du présent article sont détruites sans délai et au plus tard cinq jours après leur collecte.
Lorsqu’elles sont de nature à concourir à la constatation des manquements et infractions mentionnés au I du présent article, les données collectées strictement nécessaires sont conservées pour une période maximale d’un an à compter de leur collecte et sont détruites à l’issue de cette période. Toutefois, lorsqu’elles sont utilisées dans le cadre d’une procédure de sanction, ces données peuvent être conservées jusqu’au terme de la procédure. Les autres données sont détruites dans un délai maximum de trente jours à compter de leur collecte.
Le droit d’accès aux informations collectées s’exerce auprès l’Autorité des marchés financiers dans les conditions prévues par l’article 105 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Le droit d’opposition prévu à l’article 110 de la même loi ne s’applique pas aux traitements mentionnés au premier alinéa du présent II.
Les modalités d’application du présent I sont fixées par décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés. Ce décret précise notamment les conditions dans lesquelles la mise en œuvre des traitements mentionnés aux premier et deuxième alinéas du présent I est, à toutes les étapes de celle-ci, proportionnée aux finalités poursuivies. Il précise également en quoi les données sont adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est strictement nécessaire. Il prévoit encore les dispositions relatives aux droits des personnes.
III. – L’expérimentation prévue au I fait l’objet d’une analyse d’impact relative à la protection des données à caractère personnel dont les résultats sont transmis à la Commission nationale de l’informatique et des libertés, dans les conditions prévues à l’article 62 de la loi n° 78‑17 du 6 janvier 1978 précitée.
IV. – L’expérimentation prévue au I du présent article fait l’objet d’une première évaluation dont les résultats sont transmis par le Gouvernement au Parlement ainsi qu’à la Commission nationale de l’informatique et des libertés au plus tard dix-huit mois avant son terme.
Un bilan définitif de l’expérimentation est transmis au Parlement ainsi qu’à la Commission nationale de l’informatique et des libertés au plus tard six mois avant son terme.
V. – L’expérimentation prévue au I entre en vigueur à une date fixée par le décret en Conseil d’État prévu au dernier alinéa du II, et au plus tard le 1er juillet 2024.
Cet amendement vise à permettre à l’Autorité des marchés financiers (AMF) de procéder à la collecte automatisée de données sur interfaces des personnes dont l’activité est d’éditer un service de communication au public en ligne mentionnées au I de l’article 1er de la loi n° 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique dans le cadre de ses missions de régulateur à des fins de protection de l’épargne et dans le cadre de ses activités de surveillance des marchés.
Le volume des données susceptibles d’être examinées par l’AMF dans le cadre de ses missions ne peut être efficacement traité de façon manuelle, car cette tâche est à la fois fastidieuse, non exhaustive et parfois impossible en pratique :
* Dans le cadre de sa mission de protection de l’épargne, l’AMF est amenée à élargir aux réseaux sociaux et aux influenceurs le champ de sa surveillance de la promotion des offres financières, en raison de l’évolution des pratiques promotionnelles prenant la forme de l’influence marchande et de l’adoption de la loi n° 2023-451 du 9 juin 2023 visant à encadrer l'influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux. Cette surveillance requiert d’analyser un large ensemble de données : pour le seul marché des cryptoactifs, environ 31 400 publications visant le public français ont été dénombrées au cours des six derniers mois ;
* L’AMF rencontre la même problématique dans le cadre de ses missions de surveillance des marchés : si elle dispose de systèmes de détection des évolutions boursières suspectes, ces signaux doivent complétés par une recherche de rumeurs ou de fausses nouvelles susceptibles de faciliter la réalisation d’un abus de marché (manipulation de cours, diffusion d’informations trompeuses, etc.). Cette tâche requiert aussi de couvrir un large ensemble de publications : environ 5 000 messages en lien avec le marché des actions des sociétés françaises sont publiés quotidiennement sur Twitter/X et le principal forum spécialisé.
Un dispositif de collection automatisée permettrait à l’AMF d’accroître très significativement la quantité de données traitées et la qualité des analyses conduites, sans commune mesure avec le travail ciblé réalisé par les services enquêtes. Pour le seul cas des cryptoactifs, un logiciel reposant sur l’analyse de mots-clés permettrait de multiplier le nombre de publications analysées par 17. Ce type d’outils aurait également des bénéfices pour la qualité des analyses de l’AMF, le travail de données de masses permettant un affinement progressif du ciblage de la surveillance.
Afin de garantir l’usage proportionné et strictement nécessaire des données collectées, il est prévu d’en réserver l’usage aux agents habilités à cet effet, ainsi qu’un strict encadrement des délais de conservation. De même, la CNIL disposera des données traitées pour faciliter la mise en œuvre de sa mission de contrôle. Des précisions sont prévues s’agissant du droit d’accès et du droit d’opposition des personnes dont les données sont collectées. D’autres garanties seront prévues par décret en Conseil d’Etat, notamment la mise en place d’une phrase d’apprentissage et de conception afin de limiter la collecte de données non pertinentes.
Il est, par ailleurs, proposé que le dispositif soit adopté à titre expérimental, pour une durée de 5 ans, suivant ainsi le modèle retenu pour le dispositif fiscal et douanier et prévu à l’article 154 de la loi n° 2019-1479 du 28 décembre 2019 de finances pour 2020.
Aucun commentaire n'a encore été formulé sur cet amendement.