♾️ suivre Marie-Anne Frison-Roche sur LinkedIn

♾️ s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence complète : M.-A. Frison-Roche, Automated Compliance, a pertinent tool for Compliance Law, the whole, document de travail, novembre 2022.

____

📝Ce document de travail sert de base à une participation à un débat sur "Automated Compliance : "the" solution or "a" solution?, qui déroule dans le Sommet global de Gaia-X  le 17 novembre 2022.  

____

►Résumé du document de travail : s'appuyant sur la présentation préalablement faite au débat par un membre de la Commission européenne, il s'agit de souligner trois éléments qui montrent que l' Automated Compliance (ou Compliance by design) est à la fois un outil central, mais qu'il n'est un outil du Droit de la Compliance dont il ne saurait remplir par sa seule performance technologique toutes les fonctions dans un Etat de Droit.

En premier lieu, l'Union européenne semble en difficulté lorsqu'elle veut tout à la fois bâtir un système juridique qui lui est propre sur la base de Lois dont chacune est la pièce d'un gigantesque puzzle pour obtenir une industrie pérenne et autonome dans une économie numérique mondiale totalement renouvelée, ce qui fait peser sur les entreprises une charge considérable d'intégration de toutes ces règles du jeu, tout en affirmant qu'il faut alléger la charge que la "réglementation" fait peser sur elles.

En second lieu, la meilleure solution pour résoudre cette ambition contradictoire est effectivement dans la technologique, les algorithmes intégrant directement les réglementations. Mais plus encore, l'ensemble de ces textes reposent sur une autonomie laissée en Ex Ante aux entreprises européennes pour s'organiser entre elles afin de concrétiser les "buts monumentaux" que l'Union européenne a décidé d'atteindre, dont la réalisation d'un cloud souverain est au centre.

Ainsi la distinction et l'articulation d'un "Droit de la Compliance", défini par ces "buts monumentaux", dont lequel l'intelligence artificielle est un outil, le "tout" (Compliance Law) et la "partie" (Automated Compliance) est essentielle.

En troisième lieu, cette distinction et articulation est non seulement bénéfice mais elle est obligatoire. En effet, même si le Droit de la Compliance constitue une branche du Droit, elle fonctionne dans le système juridique générale, qui ne fonctionne que par l'esprit des textes, les outils algorithmiques ne capturant que la lettre de ceux-ci. Ces tribunaux sont et seront au cœur du Droit de la Compliance, le cas Schrems l'a bien montré. C'est pourquoi la Technologie et le Droit doivent travailler ensemble, et davantage à l'avenir, notamment parce qu'un outil pour l'effectivité du Droit ne pourra jamais rendre compte de la vie même du système juridique.

________

🔓Lire ci-dessous les développements⤵️

Référence complète: CJUE, Grande chambre, Arrêt Facebook Ireland e.a. contre Gegevensbeschermingsautoriteit, C-645-19, 15 juin 2021

Lire l'arrêt

Lire le résumé de l'arrêt produit par la Cour

Lire le communiqué de presse

Référence complète: Frison-Roche, M.-A., "Utilisons la puissance des GAFAMs au service de l'intérêt général!", interview réalisé par Olivia Dufour, Actu-juridiques Lextenso, 11 janvier 2021

Lire l'interview

Pour aller plus loin, notamment sur la logique qui guide le dispositif Avia, voir:

• Frison-Roche, M.-A., "Haine sur internet: il faut responsabiliser les opérateurs numériques", 2020 

• Frison-Roche, M.-A., L'apport du Droit de la Compliance à la Gouvernance d'Internet, rapport remis au Gouvernement, 2019

Référence complète: Vergnolle, S., L'effectivité de la protection des personnes par le droit des données à caractère personnel, Passa, J. (dir.), thèse, Droit, Université Panthéon-Assas (Paris II), 2020, 531 p.

Lire la thèse

Consulter directement et uniquement la table des matières

Pour aller plus loin sur la question de la régulation des données à caractère personnel, consulter: 

• Frison-Roche, M.-A., Repenser le monde à partir de la notion de donnée, 2016
• Frison-Roche, M.-A., Les conséquences régulatoires d'un monde repensé à partir de la notion de donnée, 2016. 

Référence complète: Frison-Roche, M.-A., Facebook: Quand le Droit de la Compliance démontre sa capacité à protéger les personnes, entretien avec Olivia Dufour, Actu-juridiques Lextenso, 23 novembre 2020

Lire l'interview

Lire la news de la Newsletter MAFR - Law, Compliance, Regulation portant sur cette question

► Référence générale : M.-A. Frison-Roche, "Compliance Law, an adequate legal framework for GAIA-X", in Pan-European GAIA - X Summit, The World with GAIA-X, 18 novembre 2020.

____

🧮Consulter la présentation générale de la manifestation (qui s'est tenue en anglais).

____

► Résumé de l'intervention : L'Europe doit offrir un cadre juridique adéquat au projet GAIA-X et peut le faire par le biais du Droit de la Compliance. Le Droit de la Compliance est le prolongement du Droit de la Régulation. Il est défini par ses "buts monumentaux". Ceux-ci peuvent être "négatifs", comme par exemple la prévention des défaillances systémiques, ou plus encore "positifs", comme par exemple l'innovation ou la stabilité. Cette nouvelle branche du Droit fonctionne techniquement à partir de ses "buts monumentaux" qui doivent être explicites et internalisés dans les "entreprises cruciales", aptes à les concrétiser. Ces entreprises cruciales le font sous la supervision permanente des autorités publiques. 

Le Droit européen de la Compliance travaille déjà, par exemple sur la question de la protection des données personnelles (jurisprudence et RGPD) ou sur la prévention des défaillances systémiques bancaires (Union bancaire), le Droit de la Compliance étant en équilibre avec le principe de concurrence. Le Droit de l'Union européenne passe du Droit Ex Post de la Concurrence ou Droit Ex Ante de la Compliance, internalisant des "buts monumentaux" dans des entreprises cruciales. 

Il existe une compatibilité parfaite entre le Droit de la Compliance européen et GAIA-X. Ce projet construit par des entreprises cruciales doit être supervisé par des autorités publiques spécifiques ou par la Commission européenne. La gouvernance de GAIA-X doit être transparente et doit rendre des comptes. Cette organisation privée doit utiliser ses pouvoirs dans le respect du principe de proportionnalité, contrôlé par une entité publique de supervision. Le cadre légal est nécessaire mais n'est pas suffisant. 

___

📈voir les slides en soutien de l'intervention (en anglais).

____

🎥voir la vidéo de l'intervention (en anglais). 

____

Ce document de travail a servi de base à une interview menée par Olivia Dufour et parue dans Actu-juridiques-Lextenso le 11 janvier 2021.

Référence complète: Frison-Roche, M.-A., Due Process et Droit de la Compliance sur les données personnelles: mêmes règles car un seul objectif (TUE, Ordonnance du 29 octobre 2020, Facebook Ireland Ltd c / C.E.) (Due process and Personal Data Compliance Law: same rules, one Goal (TEU, Order, October 29, 2020, Facebook Ireland Ltd v/ E.C.)), Newsletter MAFR - Law, Compliance, Regulation, 1er novembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Lire l'interview donné par ailleurs de Marie-Anne Frison-Roche dans Actu-juridiques à propos de cet arrêt

Résumé de la news: 

Dans le cadre d’une procédure ouverte au fond pour comportements anticoncurrentiels, la Commission européenne a entre le 13 mars et le 11 novembre 2019 a requis de Facebook par trois fois des communications d’informations, réitérées dans une décision de mai 2020. 

Facebook le conteste  en allégeant que les documents demandés contiendraient des informations sensibles à caractère très personnels qu’une transmission à la Commission rendrait accessible à un nombre trop élargi d’observateurs, alors que "the documents requested under the contested decision were identified on the basis of wideranging search terms, (...) there is strong likelihood that many of those documents will not be necessary for the purposes of the Commission’s investigation (les documents demandés au titre de la décision attaquée ayant été identifiés sur la base de termes de recherche plus larges (...), il existe une forte probabilité que nombre de ces documents ne soient pas nécessaires aux fins de l’enquête de la Commission (our translation))".

La contestation évoque donc la méconnaissance des principes de nécessité et de proportionnalité, mais aussi de garanties procédurales (due process), puisque ces éléments probatoires sont recueillis sans protection et utilisés par la suite. En outre, Facebook invoque ce qui serait la violation du droit au respect des données personnelles de ses employés dont les courriels sont transférés. 

La Cour rappelle l'office du juge en la matière qui est contraint notamment par la condition d'urgence pour adopter une mesure provisoire, admissible en outre que s'il y a un dommage imminent et irréversible. Elle souligne que les Autorités publiques d'une part bénéficient d'une présomption de légalité lorsqu'elles agissent et que d'autre part elles peuvent obtenir et utiliser des données à caractère personne dès l'instant que cela est nécessaire à leur fonction d'intérêt public. De nombreuses allégations du demandeur sont rejetées comme étant hypothétiques.

Mais la Cour analyse l'ensemble des principes évoqués au regard du cas très concret. Or,  en croisant l'ensemble des principes et droits en cause,  la Cour estime que la Commission européenne n'a pas respecté le principe de nécessité et de proportionnalité en ce qui concerne les données personnelles très sensibles des employés, ses demandes élargissant le cercle des informations sans nécessité et d'une façon disproportionnalité dès l'instant que l'information en cause est très sensible (comme la santé des employés, les opinions politiques des tiers, etc.).  

Il convient donc de distinguer parmi la masse des documents exigés, pour lesquels la même garantie doit être accordée dans une technique de communication que dans une technique d'inspection, ceux qui sont transférables sans précaution supplémentaire et ceux qui, en raison de leur nature de données personnelles très sensibles, doivent faire l'objet d'une "procédure alternative". 

Celle-ci va prendre la forme d'un examen des documents considérés par le demandeur comme très sensibles et qu'il communiquera sur un support électronique distinct, par les agents de la Commission européenne , que l'on ne peut soupçonner à priori de détourner la loi. Cet examen se déroulera dans une "data room virtuelle", en présence des avocats de Facebook. En cas de désaccord entre le demandeur et les enquêtes, le différent pourra être porté devant le directeur de l’information, de la communication et des médias de la DG Concurrence de la Commission européenne.

___

On peut tirer trois leçons de cette ordonnance :

1. Cette décision montre que le Droit processuel et le Droit de la Compliance ne sont pas en opposition,. L'on dit souvent que la Compliance garantit l'efficacité et le Droit processuel garantit les droits fondamentaux, la protection de l'un devant se traduire par la diminution de la garantie de l'autre. C'est faux. Comme le montre cette décision, à travers la notion-clé de protection des données personnelles sensibles (cœur du Droit de la Compliance) et le souci de la procédure (équivalence entre procédure de communication et d'inspection ; organisation contradictoire de l'examen des informations personnelles sensibles), l'on voit une nouvelle fois que les deux branches du Droit expriment le même souci ont le même objectif : protéger les personnes.
2. Le juge est apte à trouver immédiatement une solution opératoire, en proposant une « procédure alternative » axée autour du principe du contradictoire et conciliant les intérêts de la Commission et de Facebook a montré qu’elle était capable d’apporter des solutions alternatives à celles dont elle suspend l'exécution, solution adaptée à la situation et qui fait l'équilibre entre les intérêts des deux parties en présence. 
3. Le meilleur Ex Ante est celui qui anticipe l’Ex Post par la préconstitution des preuves. Ainsi l'entreprise doit être à même de démontrer ultérieurement le souci qu'elle a eu des droits des personnes, ici des employés, pour ne pas être entre dans la main des Autorités publiques de sanction. Cette culture probatoire en Ex Ante est requise non seulement des entreprises mais encore des Autorités publiques qui elles aussi doivent se justifier.  

__________

Référence complète: Frison-Roche, M.-A., "Health Data Hub est un coup de maître du Conseil d'Etat", interview réalisée par Olivia Dufour pour Actu-juridiques, Lextenso, 22 octobre 2020

Lire la news du 19 octobre 2020 de la Newsletter MAFR - Law, Compliance, Regulation sur laquelle s'appuie cette interview: Conditions for the legality of a platform managed by an American company hosting European health data​: French Conseil d'Etat decision 

Pour aller plus loin, sur la question du Droit de la Compliance en matière de protection des données de santé, lire la news du 25 août 2020: The always in expansion "Right to be Forgotten"​: a legitimate Oxymore in Compliance Law built on Information. Example of​ Cancer Survivors Protection 

Référence complète: Frison-Roche, M.-A., Conditions de validité d'un contrat de gestion des données de santé entre une plateforme de droit public français et un entreprise de gestion de données, filiale d'une entreprise américaine : decision du Conseil d'Etat (Conditions for the legality of a platform managed by an American company hosting European health data​: French Conseil d'Etat decision), Newsletter MAFR - Law, Compliance, Regulation, 19 octobre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

_____

Résumé de la news : Dans son ordonnance de référé du 13 octobre 2020, Conseil national du logiciel libre (décision dite Health Data Hub), le Conseil d'Etat a déterminé les règles de droit gouvernant la possibilité de conférer la gestion de données sensible sur une plateforme à une entreprise non-européenne, à travers le cas particulier de l'arrêté et du contrat par lequel la gestion de la plateforme centralisant des données de santé pour lutter contre l'épidémie de Covid-19 a été confiée à la filiale irlandaise d'une entreprise américaine, en l'espèce Microsoft.

Le Conseil d'Etat a utilisé à titre principal la jurisprudence de la CJUE, notamment l'arrêt du 16 juillet 2020, dit Schrems 2, à la lumière duquel il a interprété et le droit français et le contrat liant le GIP et    

Le Conseil d'Etat a conclu qu'il n'était pas possible de transférer ces données aux Etats-Unis, que le contrat ne pouvait que s'interpréter ainsi et que les modifications de l'arrêté et du contrat sécurisé cela. Mais il a observé que le risque d'obtention par les Autorités publiques américain demeurait.

Parce que l'ordre public exige le maintien de cette plateforme et qu'il n'existe pas pour l'instant d'autre solution technique, le Conseil d'Etat a maintenu le principe pour l''instant de sa gestion par Microsoft, le temps qu'un opérateur européen soit trouvé. Pendant ce temps le contrôle de la CNIL, dont les observations ont été prises en considération, sera opéré. 

L'on peut tirer trois leçons de cette décision de grande importante :

• Il existe un parfait continuum entre l'Ex Ante et l'Ex Post, puisque par un référé, le Conseil d'Etat est parvenu à obtenir un modification de l'arrêté, une modification des clauses contractuelles par Microsoft et des propos engageant du Ministre pour que, le plus vite possible, la plateforme soit gérée par un opérateur Européen. Ainsi, parce que c'est du Droit de la Compliance, le temps pertinent du juge est le futur. 

• Le Conseil d'Etat a mis la protection des personnes au cœur de tout le raisonnement, ce qui est conforme à la définition du Droit de la Compliance. Il a réussi à résoudre le dilemme : soit protéger les personnes grâce à la personne pour lutter contre le virus, soit protéger les personne en empêchant la centralisation des données et leur captation par les Autorités politiques américaines. Par une décision "politique", c'est-à-dire une action pour le futur, le Conseil a trouvé une solution d'attente pour protéger les personnes et contre la maladie et contre la dépossession de leurs données, en exigeant d'une solution européenne soit trouvée. 

• Le Conseil d'Etat a mis en exergue la Cour de Justice de l'Union européenne comme l'alpha et l'oméga du Droit de la Compliance. En n'interprétant le contrat passé entre un Groupement d'intérêt public français et une filiale irlandaise d'un groupe américain qu'au regard de la jurisprudence de la Cour de Justice de l'Union européenne, le Conseil d'Etat montre que l'Europe souveraine des données peut se construire. Et que les juridictions sont au centre de cela. 

___________

Lire l'interview donnée à propos de cette Ordonnance Health Data Hub. 

Pour aller plus loin, sur la question du Droit de la Compliance en matière de protection des données de santé, lire la news du 25 août 2020: The always in expansion "Right to be Forgotten"​: a legitimate Oxymore in Compliance Law built on Information. Example of​ Cancer Survivors Protection 

Référence complète: CJUE, grande chambre, 6 octobre 2020,  Privacy International c/ Secretary of State for Foreign and Commonwealth Affairs, C-623/17. 

Lire l'arrêt

Lire le résumé de l'arrêt 

Lire les conclusions de l'avocat général

Lire la demande de décision préjudicielle présentée par le Investigatory Powers Tribunal - London (Royaume-Uni)

Référence complète des lignes directrices: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux "cookies et autres traceurs") et abrogeant la délibération n°2019-093 du 4 juillet 2019 

Référence complète de la recommendation: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs". 

Lire les lignes directrices

Lire la recommendation

Lire la présentation de cette recommendation et de ces lignes directrices par la CNIL

Cette illustration d'une question juridique a été publiée dans la Newsletter MAFR - Law, Regulation & Compliance du 21 septembre 2020 sur LinkedIn.

Lire la news du 21 septembre 2020

Référence complète: Frison-Roche, M.-A., Répondre à un email contenant de "sérieuses anomalies", transférant des données personnelles, bloque le remboursement par la banque : décision de la Cour de Cassation, 1er juillet 2020 (Responding to an email with "serious anomalies"​,transferring personal data, blocks reimbursement by the bank: French Cour de cassation, July 1st 2020), Newsletter MAFR - Law, Compliance, Regulation, 10 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Le "phishing" est une forme de cybercriminalité visant à obtenir, par des courriels frauduleux ressemblant à ceux pouvant provenir d'organismes légitimes, des informations personnelles du destinataire afin d'usurper son identité et/ou de le voler. Comme il est difficile d'en trouver les auteurs et encore plus de prouver leur intentionnalité afin de les punir directement, un des moyens de lutter contre le phishing peut être de confier la charge aux banques de sécuriser leur réseau d'information et, afin d'assortir cette obligation d'une forte incitation, de les condamner à rembourser les victimes en cas de vol de leurs données personnelles. 

En 2015, un client victime de ce type d'escroquerie a demandé à sa banque, le Crédit Mutuel, de lui rembourser la somme dérobée, ce que la banque refuse de faire au motif que le client avait commis une faute en transférant ses informations confidentielles sans vérifier l'e-mail pourtant grossièrement contrefait. Le tribunal de première instance donne raison au client parce que bien qu'ayant commis cette faute, il était de bonne foi. Ce jugement est annulé par la Chambre commerciale de la Cour de cassation par un arrêt du 1ier juillet 2020, qui pose que cette négligence grave, exclusive de toute considération de bonne foi, justifie l'absence de remboursement par la banque.

___

De ce cas particulier, on peut tirer trois leçons: 

1. La Cour de Cassation pose que la bonne foi n'est pas un critère pertinent et que, de la même façon que la banque doit réagir lorsqu'un compte bancaire est objectivement anormal, le client doit réagir face à un email manifestement anormal. 

2. La Cour de Cassation décrit la répartition des charges de preuve. Les obligations probatoires sont alternativement réparties entre la banque et son client. En premier lieu, la banque doit sécuriser son réseau d'information mais en second lieu le client  doit prendre toute mesure raisonnable pour en préserver la sécurité. Il en résulte que, si l'email reçu par le client semble normal, les dommages du phishing sont à la charge de la banque, et plus généralement de l'entreprise, tandis que s'il est manifestement anormal, ils sont à la charge du client, mais la charge de prouver l'anomalie du courriel incombe à l'entreprise et non au client. 

3. Un tel système probatoire montre que Droit de la Compliance inclut une mission pédagogique en éduquant chaque client afin qu'il soit à même de distinguer au sein de ses emails, ceux qui relèvent d'un caractère normal et ceux qui sont "manifestement suspects". Cette dimension pédagogique, avec les conséquences juridiques qui lui sont attachées, ne va cesser de s'accroitre.

______

Référence complète: Frison-Roche, M.-A., Pour réguler ou superviser, des compétences techniques sont requises: exemple de la création du "Pôle d'expertise de la régulation numérique" (For regulating or supervising, technical competence is required: example of the French creation of the "Pôle d'expertise de la régulation numérique"​), Newsletter MAFR - Law, Regulation, Compliance, 2 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Regulation, Compliance

Résumé de la news

Par un décret du 31 août 2020, le gouvernement a créé un service à compétence nationale dénommé "Pôle d'expertise de la régulation numérique (PEReN)". Celui-ci a pour but de fournir aux services de l'Etat une expertise technique dans les domaines de l'informatique, de la science des données et des processus algorithmiques afin de les assister dans leur rôle de contrôle, d'enquêtes ou d'étude. L'objectif est de favoriser le partage d'information entre représentants de la recherche et les services de l'Etat en charge de réguler le numérique. 

Comme son acronyme l'indique, ce pôle d'expertise a vocation à manifester de la constance dans un monde en perpétuel changement. Par ailleurs, en plus d'être à compétence nationale, cet organisme s'inscrit dans une dimension transversale, son décret de création ayant été signé à la fois par le Premier ministre, le ministre de l'Economie, le ministre de la Culture et le ministre de la Transition Numérique. La création d'un tel pôle témoigne de la prise de conscience du gouvernement de l'importance de la compétence technique dans la régulation du numérique et de la nécessité de centraliser ces expertises en un seul et même organe. 

Toutefois, comme l'indique le décret, ce pôle d'expertise ne pourra être consulté que par les "services de l'Etat", ce qui exclut les régulateurs qui sont des autorités administratives indépendantes de l'Etat et qui pourraient mettre le pôle d'expertise en conflit d'intérêt s'ils venaient à le saisir et les tribunaux alors même que ceux-ci sont appelés à jouer un rôle central dans la régulation du numérique et qu'ils sont habilités à requérir l'avis du régulateur sur certains dossiers. Mais, si les régulateurs ne peuvent saisir le PEReN, à qui bénéficie-t-il mis à part au législateur et à quelques fonctionnaires?

Il aurait donc mieux fallut que ce pôle d'expertise soit placé sous la direction des organes de régulation et de supervision, ce qui lui aurait permis de pouvoir être consulté à la fois par les régulateurs et par les juges, tous deux acteurs de premier plan de la régulation du numérique. 

Référence complète: Frison-Roche, M.-A., Compliance by design, une arme nouvelle? L'opinion de Facebook à propos des nouvelles dispositions techniques d'Apple pour protéger les données personnelles (Compliance by Design, a new weapon? Opinion of Facebook about Apple new technical dispositions on Personal Data protection), Newsletter MAFR - Law, Compliance, Regulation, 31 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news:

Les données personnelles, en tant qu'elles sont des informations, sont un outil de Compliance. Elle représentent une ressource précieuse pour les entreprises qui doivent mettre en oeuvre un plan de vigilance afin de prévenir la corruption, le blanchiment d'argent ou le financement du terrorisme, par exemples. C'est la raison pour laquelle, les données personnelles sont la pierre angulaire des dispositifs de "Compliance by design". Cependant, l'utilisation de ces données ne peut pas dédouaner l'entreprise de son obligation simultanée de protéger ces mêmes données personnelles, ce qui est également un "but monumental" majeur du Droit de la Compliance. 

Afin de pouvoir exploiter ses données dans un objectif de Compliance tout en les protégeant, l'entreprise numérique Apple a par exemple adopté de nouvelles dispositions telles que l'exploitation de l'IDentifier For Advisers (IDFA) intégré à l'iPad ou à l'iPhone et largement utilisé par les entreprises de publicité ciblée soit conditionnée au consentement du consommateur.  

Facebook a vivement réagi à cette nouvelle disposition d'Apple en expliquant que de telles mesures allaient profondément restreindre l'accès des données aux démarcheurs publicitaires qui verraient ainsi leurs activités limitées. Facebook soupçonne Apple de vouloir bloquer l'accès aux autres entreprises publicitaires dans le but de développer son propre outil publicitaire. Facebook a assuré aux démarcheurs qui travaillaient avec lui qu'ils ne prendraient pas, pour sa part, de telles mesures et qu'il privilégiait toujours la consultation du secteur publicitaire avant ses prises de décisions afin de concilier au mieux les intérêts parfois divergents en présence. 

On peut dors-et-déjà formuler quelques remarques:

• Le RGPD imposant aux entreprises numériques qu'elles garantissent un niveau de protection minimum des données personnelles ne s'applique pas aux Etats-Unis. Il est donc plus plausible qu'Apple ait agit par Responsabilité Sociale des Entreprises (RSE), plus que par obligation légale.
• Le mode de régulation utilisé ici est la "régulation conversationnelle" théorisée par Julia Black. Effectivement, les régulateurs laissent les forces en présence "converser".
• Cette "régulation conversationnelle" ne semble pas très efficace ici et une intervention des autorités administratives ou des juges pourrait se justifier par le biais du Droit de la Concurrence, de la Régulation ou de la Compliance, sachant que le Droit de la Concurrence privilégiera le droit d'accès à l'information et le Droit de la Régulation ou de la Compliance davantage le droit à la vie privée.

Tout le paradoxe du Droit de la Compliance réside donc dans l'équilibre entre circulation de l'information et secret.

Référence complète: Frison-Roche, M.-A., "Interrégulation" entre les systèmes de paiements et la protection des données personnelles: comment organiser cette interaction? ("Interregulation"​ between Payments System and Personal Data Protection: how to organize this "interplay"​?), Newsletter MAFR - Law, Compliance, Regulation, 27 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Le Droit de la Régulation, afin de reconnaître et de tirer les conséquences de la spécificité de certains objets, a au départ été construit autour de la notion de secteur technique bien que la délimitation de ceux-ci relève en partie d'un choix politique. Mais, dans les faits, il existe de multiples points de contact entre ces secteurs, les acteurs se déplaçant de l'un à l'autre tout comme certains objets. La solution régulatoire est donc d'enjamber certaines frontières techniques par la méthodologie de l'interrégulation qui est par ailleurs la seule à permettre la régulation de certains phénomènes dépassant la notion de secteur et relevant donc du Droit de la Compliance.

Cette news prend l'exemple des entreprises fournissant de nouveaux services de paiement. Afin qu'elles puissent délivrer ces services en question, ces entreprises ont besoin d'accéder aux comptes bancaires des personnes concernées et donc à des données personnelles à caractère très sensibles. La régulation d'une telle configuration nécessite donc une coopération entre le régulateur bancaire et le régulateur des données personnelles. La législation n'étant pas suffisante pour organiser en Ex Ante cette interrégulation, l'European Data Protection Board (EDPB et régulateur européen des données personnelles) a publié des lignes directrices le 17 juillet 2020 sur la manière dont elle concevait l'articulation entre le PSD2 (directive européenne sur les services de paiement) et le RGPD (Règlement Général pour la Protection des Données) et annonçait qu'elle comptait élargir le cercle de ces interlocuteurs pour opérer cette interrégulation. Une telle initiative de la part de l'EDPB se justifie par l'incertitude quant à la manière d'interpréter ces deux textes et de les articuler l'un avec l'autre. 

Référence complète: Frison-Roche, M.-A., Etre obligé de déverrouiller son téléphone n'est pas équivalent à s'auto-incriminer: Cour de Cassation, Chambre criminelle, 19 décembre 2019, (Being obliged by Law to unlock telephone is not equivalent to self-incrimination: Cour de cassation, Criminal Chamber, Dec. 19, 2019), Newsletter MAFR - Law, Compliance, Regulation, 21 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

La Cour de Cassation a rendu une décision le 19 décembre 2019 à propos d'une affaire concernant le refus de la part d'un citoyen de communiquer le code de déverrouillage de son téléphone portable à la police alors que celle-ci l'avait trouvé en possession d'une quantité significative de drogue et de beaucoup d'argent liquide et qu'il existait une probabilité certaine que ledit téléphone contienne des informations qui aurait pu constituer des preuves de la culpabilité de son propriétaire. L'individu en question a été inculpé non pas pour trafic de drogue mais pour avoir refusé de communiquer son code de déverrouillage et donc pour infraction à l'article 434-15-2 du code pénal, issu de la loi du 3 juin 2018 renforçant la lutte contre la criminalité organisée, et le terrorisme et leur financement.

L'accusé invoque devant la cour son droit à ne pas s'auto-incriminer. Effectivement, la configuration face aux policiers était telle que s'il refusait de communiquer son code de déverrouillage, il serait sanctionné au motif de cette obligation de communiquer son code et que s'il acceptait, il se serait également retrouvé sanctionné au vu des preuves contenues dans le téléphone portable. Une telle configuration ne lui offrait donc pas d'alternative à l'aveu, ce qui est contraire à la Convention Européenne des Droits de l'Homme et à la jurisprudence européenne et nationale.

Face à un tel cas, la Cour de Cassation a choisi de segmenter les différentes informations en présence et a donc proposé la solution suivante: si les informations recherchées ne peuvent être obtenues indépendamment de la volonté du suspect, il n'est pas possible de contraindre cette personne à communiquer la dite information sans violer ses droits procéduraux, mais si les informations peuvent être obtenues indépendamment de la volonté du suspect, alors l'individu est dans l'obligation de communiquer son code. Dans le cas présent, comme il était possible pour les forces de l'ordre d'obtenir les information contenues dans le téléphone par des moyens techniques, certes plus longs mais existants, alors le refus de communication du code de verrouillage par le suspect constitue une obstruction qu'il convient de sanctionner. 

Une telle décision est un exemple de conciliation par le juge des deux "buts monumentaux" fondamentaux mais contradictoires du Droit de la Compliance: la transparence de l'information vis-à-vis des autorités publiques et la protection des données personnelles à caractère sensible. 

___

​Pour aller plus loin, lire le document de travail de Marie-Anne Frison-Roche: Repenser le monde à partir de la notion de donnée

Référence complète: Féral-Schuhl, C., Cyberdroit. Le Droit à l'épreuve de l'internet, Collection Praxis Dalloz, Dalloz, 8e édition, 2020, 1731p.

Lire la quatrième de couverture

Lire la table des matières

Ce working paper sert de base à une conférence qui a lieu à Bordeaux le 23 septembre 2016.

Dans sa recommandation n°11, le rapport Lévy-Jouyet recommande la mise en ligne des données publiques pour améliorer le service public (open data), son financement se faisant au besoin par la publicité. C’est à un autre titre que par sa recommandation n°12, le rapport préconise d’aider la diffuser de la création française à l’étranger.

Dans une économie de l’immatériel devenue une « économie de l’accès », ces deux recommandations pourraient se rapprochent, se fondre peut-être. En effet, si l’on relit par exemple les « lieux de mémoires » de Pierre Nora, on observe que les personnes publiques portent le patrimoine immatériel de la France. Il est d’une grande valeur. Il a été créé notamment par l’Histoire. L’État en organise l’accès, par l’open data. En cela, il organise l’accès à une création collective. En cela, il remplit sa fonction de satisfaire le bien commun d’ouverture.

Mais l'on bute rapidement sur une difficulté, voire une aporie : comme l'exprime le rapport Lévy-Jouyet pour les données publiques l’accès à celles-ci doit être financé. De la même façon, l’accès aux "lieux de mémoires doit être financé". Et l'on voit à travers cette question financière la contradiction de l'open data : L’enrichissement par les opérateurs de l’accès sans aucune contrepartie est incompréhensible. Seule une licence de droit commun peut rétablir le caractère commutatif entre le dépositaire de la création immatérielle collectif qui est la personne publique qui perdure dans le temps (l’État) et celui qui tire profit de l’accès.  Puisque chacun sait que la gratuité n’est pas un système sain, tandis que chacun dit que les licences open data ne sont pas effectives.

C'est pourquoi il convient d'examiner les règles juridiques qui gouvernent aujourd'hui ce que l'on appelle "l'open data" comme l'expression d'un droit d'accès à ce qui est à tout le monde mais qui est pourtant intouchable (I), le régime juridique montrant les contradictions de l'open data, ce à quoi le droit plus classique auquel le rapport renvoie par ailleurs pourrait répondre (II)

Ce travail est construit en deux séquences.

Un premier working paper a eu pour objet de réfléchir sur le monde actuel, qui est en train de se reconstruire à partir de la notion de "donnée", ce qui constitue une "révolution".

A sa suite, ce présent working paper prend comme point de départ un tel bouleversement et élabore ses "conséquences régulatoires".

Ce continuum , prenant la forme de ces deux working papers, a servi de base à une intervention dans le colloque organisé par le internet-espace-/">Journal of Regulation , internet-espace-/">Internet, espace d'interrégulation.

Regarder les slides ayant servi de support à la conférence.

Ce présent working paper sert d'appui  au second article qui sera publié dans un ouvrage, dans la internet-espace-dinterregulation.0.pdf">Série Régulations, aux Éditions Dalloz. Il est possible de internet-interregulation.pdf">commander l'ouvrage auprès des Éditions Dalloz.

____

La première conséquence régulatoire tient au fait que ce que l'on désigne souvent comme "l'objet" de la donnée (la personne, l'entreprise pour la donnée financière, l'économie pour le rating, etc.), n'est que sa source, son "sous-jacent", la donnée étant fabriquée par une entreprise ou par l’État  tandis que son objet est bien plutôt l'usage pour lequel cette donnée a été construite et articulée à d'autres.  La donnée est donc autonome de son sous-jacent, est mise en masses affectées, prend une valeur économique en fonction des désirs qu'en ont ses utilisateurs et ses acheteurs, devient disponible hors du temps et de l'espace dans le numérique. Cela implique une interrégulation spécifique.

Mais la donnée est aussi le Janus du numérique, car, nouvel or noir, pur instrument financier, par nature immatérielle, la donnée conserve pourtant la trace des personnes. Elle la conserve, la met en exergue et en danger. Le Droit peut alors établir de force une indissociabilité entre la donnée et son sous-jacent, pour protéger celui-ci, notamment s'il s'agit d'une personne, ou pour atteindre celui qui utilise l'information.  Cette double-face de la donnée entraîne des chocs de régulations dans Internet. Le cas Safe Harbor l'illustre.

En outre, tout Internet ramène vers l'internaute, dans lequel l'on verrait volontiers "Le Grand Interrégulateur". Mais est-ce si adéquat, légitime et efficace ? Le "consentement," auquel renvoie l'interrégulation assurée par l'internaute lui-même, fait naître le doute. En revanche, sous le vocable déplacé de "droit à l'oubli" se dissimule une arme efficace qui peut frapper ceux qui accaparent les données dans une économie numérique qui semble se constituer dans un mécanisme anté-marché, c'est-à-dire dans une régression qui pulvérise l'autorégulation marchande elle-même pour remplacer les actes juridiques d'échange par des actes juridiques conjonctifs, organisation que pour l'instant le Droit et la Régulation ont bien du mal à appréhender, faute des qualifications juridiques pour ce faire.

Le "droit à l'oubli" requalifié à travers la catégorie des actes conjonctifs serait un premier pas pour satisfaire un objectif de la régulation, assurant à la fois la protection de l'innovation et la protection des personnes, dans un futur qui doit rester toujours ouvert et que nulle puissance économique ou politique ne peut s'approprier.

► Référence générale : Frison-Roche, M.-A., Repenser le monde à partir de la notion de "donnée", Document de travail, novembre 2015.

____

Ce working paper a en premier lieu servi de base à une intervention à un colloque organisé par  le Journal of Regulation,  ayant pour thème :    Internet, espace d'interrégulation. Pour ce faire, il a été articulé avec un second Document de travail qui, à partir de cette révolution, élabore les conséquences régulatoires d'un monde repensé à partir de la notion de donnée. 

Regarder les slides ayant servi de support à la conférence.

Il a en second lieu servi de base à un article publié dans l'ouvrage Internet, espace d'interrégulation, édité dans la Série Régulations, aux Éditions Dalloz.

____

► Résumé du document de travail : il a pour objet de réfléchir sur le monde actuel, qui est en train de se reconstruire à partir de la notion de donnée". Le Droit est une reconstitution du monde à travers des définitions et des catégories, exprimées par des mots, auxquels on impute des corps de règles. Il y a toujours un part d’invention dans le Droit articulée à un part de fidélité au monde concret qu’il retranscrit, combinaison permettant au Droit de régir celui-ci.

Le Droit est mis en difficulté par ce que le terme de « donnée », assez nouveau, n’est pas aisé à définir. Le fait qu’on le formule étrangement en latin pour montrer qu’il y a pluralité, les data, avant de lui associer un adjectif anglais lorsqu’il y a beaucoup, les big data, ne nous avance pas plus sur ce qu’est une "donnée". Or, le Droit est un art pratique qui ne fonctionne bien que s'il manie des catégories dont on maîtrise la définition. C'est pourquoi dans un premier temps il convient de reconnaître les incertitudes de la notion mêmes de "données" (I), pour s'orienter dans un second temps vers ce qu'est une donnée, à savoir une valeur "pure" dans une société de consommation d'information (II).

____

Référence complète : Catala, P., La propriété de l'information,  in Le droit à l'épreuve du numérique. Jus ex Machina, coll. "Droit, Éthique, Société",  PUF , Paris, 1998, p.245-262

Lire l'article.

Les étudiants de Sciences-po peuvent consulter l'article par le drive dans le dossier " MAFR- Régulation".