The recent news

L'ouvrage de Christophe André, Droit pénal spécial, vient de paraître dans sa 5ième édition, dans la collection Cours Dalloz - série Droit privé.

Il fût un temps où l'on ne faisait pas plus "spécial" que le Droit pénal spécial.

Déjà le Droit pénal, que l'on disait "autonome" était spécial (et merci à l'auteur d'en rappeler les bases en début d'ouvrage), mais en son sein l'on ressemblait l'ensemble de chacune des infractions. Un peu comme le Droit du contrat et les contrats spéciaux. 

Mais le Droit pénal spécial l'implique plus encore, parce que le Droit pénal général est lui-même spécial, puisqu'il est une exception au principe de liberté et que ce principe d'exception implique un isolement de chaque infraction close sur elle-même.  L'effet de catalogue serait de la nature même de ce Droit si "spécial". 

Comme l'écrit parfaitement Christophe André lorsqu'on arrive au Droit pénal spécial, alors on aborde un "droit très spécial". Il est d'ailleurs usuel de lui consacrer un ouvrage autonome....

Celui qui non seulement fait du Droit des affaires mais même travaille dans un entreprise sans faire particulièrement de Droit fera du Droit pénal des affaires dès l'instant par exemple qu'il s'occupe de gouvernance ou de relations avec les investisseurs. Les mécanismes de Compliance sont visés comme mettant en place un Droit qui n'a plus rien à voir avec le Droit pénal classique, construit même à l'inverse de celui-ci. 

C'est d'une façon liée que l'auteur s'inquiète en affirmant que toute cette pluie particulière de crimes et délits spéciaux, soustrait à un Droit pénal qui semble disparaître ferait naître un "droit d'exception". 

C'est vrai et c'est bien l'enjeu du "Droit de la Compliance" dans son rapport avec le Droit pénal. Qui ne fait que mettre encore plus nettement en valeur la question que ne l'avait déjà fait les rapports entre Droit de la Régulation et Droit pénal.

En effet, lorsqu'on affirme que la "répression" est l'arme principale du Régulateur, que le nombre de sanctions est la mesure de son succès, que les sanctions ne sont que l'outil nécessaire et naturel de l'efficacité de la règle ordinaire, tournant généralement autour de l'information et de la liberté d'aller et de venir (dont la liberté de la concurrence est dérivée), on ôte à la répression son caractère "spécial" pour la rendre ordinaire. Et par un oxymore dont les entreprises sentent chaque jour la pointe c'est en la rendant ordinaire que la répression devient un "droit d'exception", puisqu'il s'est affranchi d'un "principe d'exception" que posait le Droit pénal général.

C'est le principe d'efficacité qui continue à cela. 

Il paraît premier aux économistes.

Il paraît secondaire aux juristes.

Ce n'est pas une question théorique, c'est une question pratique.

Ainsi la décision de la Commission des sanctions de l'Agence Française Anticorruption, dans sa décision du 4 juillet 2019 est une parfaite illustration de cette tension. L'autorité de poursuite que constitue le président de l'AFA avait estimé que l'efficacité du système objectif et structurel de compliance justifiait une sanction sans avoir à prouver un comportement. La Commission des sanctions s'y refuse, dès l'instant que l'entreprise a suivi les recommandations émise par l'AFA, sauf au directeur de celle-ci a démontré un manquement malgré cela.

Comme quoi en matière de droit pénal tout est question de technique probatoire, cette articulation entre le droit pénal substantiel et la procédurale pénale, celle par laquelle ce Droit sort du sommeil dans lequel pourtant sa réussite voudrait qu'il demeure.

____

En matière de Compliance, il y a deux sujets à la fois très importants et très incertains : celui de l'admission ou non des technologies de reconnaissance faciale ; celui de la forme et et de la place du "consentement" quelque soit la technique de captation, conservation et utilisation de l'information. 

Le cas soumis à l'Autorité suédoise de protection des données (Datainspecktionen) et rapporté par la presse, croise les deux. 

I. LE CAS

Une école suédoise doit en application de la loi nationale faire l'appel de chaque élève à chaque cours. Une Ecole supérieur a calculé que cette tâche, qui incombe donc à chaque enseignant en début de cours, représente un nombre d'heures important, qui pourrait être mieux utilisées par ceux-ci. Elle demande donc à une entreprise de technologie, Tieto, de développer pour elle des technologies qui redonnent aux enseignants leur temps. 

L'entreprise Tieto conçoit un programme pilote, comprenant un procédé de reconnaissance faciale par la pupille de l'oeil, comptant ainsi les élèves présents. Les 21 élèves qui suivent le programme pilote apportent leur consentement express pour l'ensemble des technologies utilisées, notamment celle-ci.

Mais en février 2019 l'Autorité suédoise de surveillance, d'inspection et de protection des données poursuit l'entreprise qui a fourni cette technologie et l'école qui en a bénéficié pour violation du Réglement européen dit "RGPD".

L'école se prévaut du consentement libre et éclairé qui lui a été apporté par les élèves, tandis que le fournisseur de la technologie justifie l'usage de celle-ci par le fait qu'ainsi l'équivalent de 10 emplois à plein temps sont annuellement économisés pour des tâches mécaniques. 

II. LA SOLUTION

Ces moyens n'ont pas convaincu l'Autorité.

Sur la question de l'efficacité du procédé, il ne semble pas même y être répondu, car tous ces mécanismes sont à l'évidence performants, car la protection des personnes est sans conteste coûteuse.

Mais sur la question du consentement, il est mentionné que le moyen tiré du consentement des élèves n'est pas retenu en raison du fait qu'ils n'étaient pas autonomes de l'établissemnt bénéficiaire de la technique de reconnaissance et qu'à ce titre le consentement n'avait donc pas de portée.

L'usage de cette technique est donc interdicte. 

Mais l'Autorité ne se contente pas d'une interdiction. Elle indique qu'il convient, puisque les opérateurs en sont encore au stade d'un programme pilote d'ensemble de trouver ce que l'Autorité appelle un mode de contrôle des présences "moins intrusifs", car c'est en tant que l'ensemble prenait les élèves dans leur environnement toute la journée que cela n'était pas admissible. 

III. LA PORTEE

Ce n'est pas donc une décision de principe.

C'est plutôt une décision d'espèce, en raison des circonstances qui vont que d'une part le consentement ne traduisait pas une volonté libre. Si les élèves n'avaient pas été ce que l'Autorité appelle la "dépendance" de l'établissement, alors sans doute leur acceptation de ces contrôles aurait eu de la portée.

S'il faut trouver un principe, il est par déduction celui-ci : le "consentement" n'est pas une notion autonome, suffisant à elle-seule à valider les technologies au regard du RGPD. Ce n'est qu'en tant qu'elle traduit une "volonté libre" que le "consentement" a pour effet de soumettre la personne qui l'émet à une technologie qui pourtant la menace autant qu'elle la sert. 

C'est bien ce lien entre "consentement" et "volonté" que le RGPD veut garantir. C'est bien ce lien - de nature probatoire -, le consentement devant être la preuve d'une volonté libre, que le dispositif de Droit de la Compliance veut protéger. 

Dès lors, si l'émetteur du consentement est dans une situation de dépendance par rapport à l'entité qui bénéficie de la technologie (par exemple et en l'espèce l'école qui fait des économies grâce à la technologie, sans que cela n'apporte rien à l'élève), la présomption comme quoi son consentement est la preuve d'une volonté libre est brisé : c'est pourquoi le consentement ne peut plus valider l'usage de la technologie. 

Sur la question du rapport entre le "consentement" et la "volonté" : v. Frison-Roche, M.-A., Oui au principe de la volonté, manifestation de la liberté, non aux consentements mécaniques, 2019.

-----

Le Conseil d'Etat vient de rendre une décision très importante, à propos des marges dont les Etats européens disposent dans le respect de la Convention européenne des droits de l'Homme, telle qu'interprétée par la Cour européenne des droits de l'Homme. .

Le 31 juillet 2019, il a rendu une décision, A.D., par laquelle il précise les marges dont un Etat dispose dans l'exercice de ses prérogatives régaliennes à l'égard des personnes qui ont eu recours à une GPA à l'étranger. 

I. LE CAS

Un couple a eu recours à deux GPA dans un Etat américain, le Colorado, dans lequel celle-ci est organisée par la Loi. Le lien de filiation entre les deux adultes et les deux enfants successivement nés a été établi avant la naissance de ceux-ci, les adultes étant mentionnés comme "les pères" de l'enfant à chaque fois.  La mère n'est pas mentionnée dans les deux actes établissant les filiations sous l'empire du droit du Colorado.

Puis le couple vient en France. L'un demande à obtenir la nationalité française par l'effet d'une naturalisation. Celle-ci ne peut être obtenu par décret, au terme d'une longue instruction au cours de laquelle l'intéressé doit décrire sa situation de fait et de droit. Mais il omet d'indiquer au Ministère de l'Intérieur qu'il a deux enfants et la façon dont le lien a été établi entre lui et ceux-ci.

Le décret de naturalisation est obtenu.

Une fois celui-ci obtenu, l'adulte demande à ce que les enfants à leur tour obtiennent la nationalité française, par l'effet mécanique de leur filiation à son égard.

Le Ministre de l'intérieur refuse d'y procéder.

Son refus est attaqué devant le juge administratif, le requérant se prévalant de l'effet automatique au bénéfice des enfants d'une naturalisation obtenu par un parent. 

II. LA SOLUTION

Après avoir visé en premier lieu l'article du Code civil qui prohibe la GPA

Le Conseil d'Etat affirme :

"Si le ministre chargé des naturalisations pouvait, dans l'exercice du large pouvoir d'appréciation dont il dispose en la matière, refuser de faire droit à la demande de naturalisation de M. D...en prenant en considération la circonstance que celui-ci avait eu recours à la gestation pour le compte d'autrui, prohibée en France par les dispositions citées ci-dessus du code civil, une telle circonstance ne pouvait en revanche, alors qu'il n'est pas soutenu que les actes d'état civil des deux enfants, établis selon la loi applicable aux faits dans l'Etat du Colorado, seraient entachés de fraude ou ne seraient pas conformes à cette loi, conduire à priver ces enfants de l'effet qui s'attache en principe, en vertu de l'article 22-1 du code civil, à la décision de naturaliser M.D..., sans qu'il soit porté une atteinte disproportionnée à ce qu'implique, en termes de nationalité, le droit au respect de leur vie privée, garanti par l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales."

Il y a donc un "obiter dictum".

En effet, la réponse à la question de savoir si la GPA peut bloquer l'effet automatique de l'acquisation automatique de la nationalité par l'enfant du fait de la naturalisation du parent, est dans la seconde partie : une fois que la naturalisation est acquise, c'est un "effet qui s'attache en principe, en vertu de l'article 22-1 du code civil, à la décision de naturaliser M.D.... " et le fait qu'il y ait eu GPA ne suffit pas en soi à briser cet effet.

Certes le Ministre aurait pu évoquer un fait de fraude : mais il n'y a pas pensé. Or, la fraude ne consistait pas dans la GPA elle-même, car celle-ci - en application de la jurisprudence de la Cour européenne des droits de l'homme ne consiste plus une fraude (la jurisprudence de la Cour de cassation de 2013 n'étant plus valide) ; la fraude consistait ici dans le fait de cacher au Ministre de l'Intérieur au cours de l'instruction de la demande de naturalisation le fait de la GPA. C'est un fait distinct et autonome.

On le comprend d'autant plus que précisément, comme le pose l'"obiter dictum" (c'est-à-dire un propos de la jurisdiction, non nécessaire pour répondre à la question, et donc d'autant plus important, puisque la jurisdiction s'exprime à seule fin de dire le Droit) le Ministre de l'Intérieur était alors légitime de fonder un refus d'accorder la nationalité française à cette personne sur ce fait qu'il a eu recours à une GPA à l'étranger, alors que cette pratique est contraire à l'ordre public français. 

III. PORTEE DE LA SOLUTION

Si l'on retient donc l'essentiel de la décision, c'est-à-dire son obiter dictum, il est donc dans l'affirmation suivante :

.... le ministre chargé des naturalisations pouvait, dans l'exercice du large pouvoir d'appréciation dont il dispose en la matière, refuser de faire droit à la demande de naturalisation de M. D...en prenant en considération la circonstance que celui-ci avait eu recours à la gestation pour le compte d'autrui, prohibée en France par les dispositions citées ci-dessus du code civil...

Cela rejoint la jurisprudence de la Cour européenne des droits de l'Homme, dans son dernier état, à la fois le plus récent et émanant de sa Grande Chambre, c'est-à-dire l'arrêt Paradiso du 24 janvier 2017.

Ainsi les Etats, en tant qu'ils sont maîtres des systèmes à la fois de filiation et de nationalité, disposent des marges, pour préserver leur ordre public et préserver l'effectivité de la prohibitaion posée pour leur système juridique. 

C'est ce que pose la Cour européenne des droits de l'homme dans sa jurisprudence, c'est ce qu'elle a posé dans sa réponse dans un avis du 10 avril 2019 à la demande d'interprétation formulée à propos de la GPA par la Cour de cassation, c'est ce que vient de reprendre sur le même raisonnement le Conseil d'Etat et alors même que cela n'était pas nécessaire pour répondre à la question qui lui était posée. 

______

Le journal Les Echos nous le raconte. 

Une personne physique sort le 15 août 2019 un rapport négatif sur une grande société cotée, General Electric (GE) en critiquant la façon dont celle-ci a évalué des risques liés à des titres financiers d'assurance qu'elle possède.

Cette personne, en diffusant une telle information, lance donc une alerte. Comme toute information, elle se répand immédiatement sur les marchés financiers. 

Cela peut être un document comme un autre, chacun pouvant publier ce qu'il veut sur ce qu'il observe et formuler une opinion sur ce qu'il voit, anticipant telle ou telle conséquence. 

Mais il se trouve que l'auteur est Harry Markopols.

Non pas que celui-ci soit particulièrement suivi pour des titres prestigieux (universitaires, etc.) ou des fonctions (régulateur ou juge, etc.), mais il se trouve qu'il avait révélé le comportement dissimulé - c'est le moins que l'on puisse dire - de Madoff. 

Les marchés non seulement l'accréditent immédiatement du fait qu'il ait révélé une nouvelle "dissimulation" et en tirent la conséquence : le titre GE perd 10 %, parce que l'information qu'avait donnée GE sur son risque est désormais considérée comme fausse puisque celle donnée par Harry Markopols est considéré comme vraie.

Le cas est intéressant en ce que quelques jours ont suffi pour reprendre en cause ce scénario. Ce terme est sans doute adéquat en ce que le "lanceur d'alerte" correspond à un "personnage" de films plus qu'à une catégorie juridique. Et l'on en voit ici les inconvénients. 

Ils sont ici de deux ordres. Le premier est le rythme qui fait que le "lancement" est immédiat, le dommage avéré, et que plus que jamais l'absence de catégorie juridique du lanceur d'alerte, personnage romantique et désintéressé ce qui ne renvoie à rien dans un système juridique qui a la sagesse de n'avoir pas ce romantisme, permet à n'importe qui de nuire. La solution française qui contraint à l'alerte interne montre sa supériorité. Car ce n'est pas tant de qualification juridique de la personne que de procédure dont nous avons besoin que de procédure. Or, pour l'instant de procédure à suivre avant de publier des "rapports" sur des entreprises, il n'y en a pas.

I. L'INCONVENIENT DE L'ABSENCE DE DEFINITION DU LANCEUR D'ALERTE DANS LE SYSTEME DE COMMON LAW

Conforme à sa tradition de Common Law, le Droit américain a fait connaissance avec le lanceur d'alerte à travers des cas, le cas Enron étant l'un des plus fameux. Il s'agit dond d'un héros.

A une époque où l'on recherche chez les super-héros le modèle du manager parfait, où l'on présente le lanceur d'alerte parfois comme un martyr, où de nombreux biopics sont consacrés à sa gloire, l'enfermer dans un statut serait comme l'étrangler. 

C'est donc dans sa pleine liberté que le lanceur d'alerte extrait l'information que personne n'a, que l'entreprise veut dissimuler, que chacun pourtant gagnerait à avoir, et la donne à tous. Dans cette époque en quête de religiosité, il y a du Saint-Sébastien dans ce lanceur d'alerte contre lequel les Etats et les entreprises lancent tant de fléches, tandis que les réseaux sociaux le soutiennent.

Mais ici le problème technique qui apparaît est celui de la fiabilité de l'information. Car personne n'est en mesure techniquement de mesurer s'il y a eu ou non sous-évaluation des risques liés à ces produits... En Droit, et selon un principe général, ce qu'affirment les mandataires sociaux est présumé exact jusqu'à ce que l'inexactitude en soit démontrée. Or, ici l'exactitude de la dénégation par le lanceur a été créditée pendant quelques heures, uniquement par un effet de réputation.

Il a suffi que l'on apprenne qu'il a été payé par un opérateur de marché pour écrire ce rapport destructeur pour que les comportements s'inversent : le cours cesse d'être attaqué et devienne soutenu.

Comme le souligne à juste titre l'article des Echos, cela ressemble à une manipulation de cours et l'Autorité des marchés financiers, la Securities & Exchanges Commission (SEC) va certainement ouvrir une enquête.

Mais suffit-il d'être payé par un fonds pour cesser d'être pertinent ?

Non, ce qui est mis en doute c'est le rapport lui-même, dont la méthodologie - d'après ce qu'en rapporte l'article de presse - n'est pas suffisamment fiable.

Or, nous sommes ici confronté à un problème de temps : les marchés financiers sont si rapides qu'ils font directement à la conclusion des rapports sans en vérifier les prémisses, comme les analystes (car les marchés ne "lisent" pas) vont directement aux résultats des sociétés sans en lire les rapports de gestion. 

Si l'on ne peut donc calmer les marchés financiers dont la fulgurance participe beaucoup de l'aveuglement, ici rattrapé par le seul fait que ce qui est perçu comme un conflit d'intérêt entraîne une reprise en mains de l'ensemble des fonds, il faudrait imposer une procédure.

II. L'ADEQUATION D'UNE PROCEDURE AFIN DE DIFFUSER SUR LE MARCHE DES INFORMATIONS

Dans le monde digital, l'on commence à percevoir la nécessité de donner un statut aux personnes qui ont de "l'influence" sur les autres : "l'influenceur". 

Le lanceur d'alerte participe de cette même catégorie très vaste et vague d'influenceurs, dont la parole a un effet sur les comportements, des investisseurs, des consommateurs, de l'opinion publique. Cela peut être problématique si ce qu'il dit n'est pas vrai, ou vraisemblable, ou le résultat d'une méthodologie sérieuse.

Or, rien dans le Droit américain ne le requiert. 

L'on pourrait en Ex Post rechercher sa responsabilité, ce qui est une compensation insatisfaisante puisque le dommage pourra avoir été grand. Sauf à trouver des personnes ou entités qui, derrière ce personnage finalement peu idylliques, auraient mené un abus de marché. Mais quel chemin probatoire à parcourir....

Dès lors, la solution retenue par la France, pourtant souvent critiquée, est bien la meilleure : contraindre celui qui veut laisser l'alerte à saisir les mandataires sociaux s'il veut bénéficier du régime juridique du lanceur d'alerte, c'est-à-dire le fait de ne pas répondre des conséquences dommageable de ses révélations, même si elles s'avéraient par la suite infondées (car une alerte ne suppose pas une démonstration complète de faits avérés).

S'il s'agit de comptes, ces faits devraient être portées à la connaissance des auditeurs, car ce sont eux qui sont en titre pour s'inquiéter, eux-mêmes contraints par des cercles de personnes alertées, de présentations financières et comptables de risques ne correspondant pas à la réalité.

Ces cercles sont des conditions procédurales qui permettent un déploiement mesuré de la puissance de ce personnage par ailleurs nécessaire qu'est le lanceur d'alerte.

Si on les respecte pas, les poursuites en abus de marché et en responsabilité vont se multiplier.

_____

Compliance Law, like Regulatory Law, of which it is an extension, is an Ex Ante Law.

It translates into a set of obligations that companies must perform to ensure that harmful behavior does not occur, such as bribery, money laundering, pollution, etc.

This results in "structural" obligations, such as the establishment of a risk map, a third-party vigilance system, internal controls, the adoption of codes.

The practical question that arises is whether to punish a company, it is necessary but it is sufficient that the company has not adopted these structural measures, or if it is also necessary that within it or through the persons whom it must be accountable (through the corporate officers and the employees, but also the suppliers, the sub-contractors, the financed operators, etc.) there were behaviors that Compliance Law prohibits, for example corruption, money laundering, pollution, safety-related accident, etc.

The question is probative. Its practical stake is considerable.

Because to obtain the conviction the prosecuting authority will have to demonstrate not only a failure in the structural device but also a behavioral failure.

Si l'on considère que le Droit de la Compliance est à la fois sur l'Ex Ante et sur l'Ex Post, alors l'autorité de poursuite qui requiert une sanction doit démontrer qu'il y a un comportement reprochable (Ex Post) et qu'à cela correspond une défaillance structurelle (par exemple le compte bancaire anormal n'a pas été signalé) ; si l'on considère que le Droit de la Compliance est purement en Ex Ante, alors même s'il n'y a pas de comportement reprochable en Ex Post, la seule défaillance structurelle suffit pour que l'entreprise qui doit l'organiser en son sein soit sanctionné.

If we consider that Compliance Law is both on the Ex Ante and the Ex Post, then the prosecuting authority that requires a sanction must show that there is a reprehensible behavior (Ex Post ) and that this corresponds to a structural failure (for example the abnormal bank account has not been reported); if we consider that Compliance Law is purely Ex Ante, then even if there is no reprehensible behavior in Ex Post, the only structural failure is enough for the company to be sanctioned, even if it does its best efforts, even if no prohibited behavior will have accured in Ex Post.  

The second system, which is much more repressive and places a considerable burden on companies, even if there is no proven illicit behavior, is that of French Law, probably because of a tendency towards Ex Ante organization. ..

Mais il faut garder mesure. Et cette mesure est probatoire.

But we must keep measure. And this measure is probative.

This is what the Commission des Sanctions of the Agence Française Anticorruption -AFA (French Anti-Corruption Agency's Sanctions Committee) has just said, in its decision of 4 July 2019, SAS S. et Madame C.,(written in French) contradicting the position of its director, who acted as the prosecuting authority. This is yet another general proof of the autonomy of the Sanctions Committee vis-à-vis to the Administrative Authority of which it is a part, and in relation to its director, who nevertheless governs it. But, jurisdictional model obliges, he has here the status of prosecuting authority, is subject to the regime of this one and not to the regime of head of the entity. Demonstration of the "functional autonomy" of the sanctioning bodies within the administrative regulatory and compliance authorities.

Indeed, this important decision expresses with precision and reason the distribution of the "burden of the allegation" and the "burden of proof" on the prosecuting body and on the company pursued, as well as the role of presumption that the recommendations issued by the French Anti-corruption Authority can play.

Read the analysis below.

Digital technology is not only a new world: it has transformed the world (see a demonstration in this sense, Frison-Roche, MA, The contribution of Compliance Law in Internet governance, report to the French Government, July 2019 ) ..

Thus, one should not always put in the same basket even if the expression is euphonic "GAFAM". While some companies offer only intangible services, such as Facebook or Google, namely putting in contact, others have material activities. Amazon ensures the delivery of material objects, of which it provides storage for example, while Uber takes care of the transport of people. Admittedly, this company denies this meeting and ensures that it deals only with the connection, but Law has requalified its activity, which is indeed of a material nature.

It is therefore difficult to find a unity in these companies, apart from the fact that they are American, that their power seems as sudden as it is unmatched, their global deployment and that they appear "indispensable" to billions of individuals. .

Because many sellers consider that they can only reach potential buyers digitally, that the main market maker is Amazon, that the latter has enacted terms of sale that deprive these sellers numerous protections, the Germain Competition Authority, the Bundeskartellamt,  opened on November 28, 2018 an abuse of a dominant position against Amazon.

The act taken by the Bundeskartellamt on July 17, 2019 with regard to Amazon and with the "Amazon agreement", in exchange for which the procedure initiated for a possible sanction of a possible abuse of a dominant position has stopped .

Ex Post competition law is exchanged for a Compliance program that goes beyond the powers of a competition authority and the territorial scope of the latter. This does not pose a problem, since it is the “acceptance” that the company makes of it that gives rise to the binding effect and no longer the law which mandated the Competition Authority.

This is an example of the remarkable transformation of Competition Law, which goes far beyond the digital issue. In 6 months, the lawsuit turns into an agreement. Which appears as a diktat of the Authority, bearing on the future, obliging in particular a different procedural behavior.

Read the analysis below.

L'Europe est décidément la zone du monde dans laquelle la protection des personnes se pense.

Elle le fait par des textes, dont le très fameux Réglement adopté en 2016 relative à la protection des personnes physiques à l'égard du traitement à caractère personnel et à la libre circulation de ces données, dit "RGPD", recopié désormais en Californie, par des initiatives nationales, comme la prochaine loi française contre les discours de haine dans l'espace numérique, par de nombreuses études et rapports - le droit souple étant aussi importante que le Droit pénal en Droit de la Compliance, mais encore par des décisions de justice.

Les décisions de justice ont été à l'origine du mouvement de protection de la protection, par la création prétorienne d'un "droit à l'oubli" par la décision Google Spain de 2014 de la Cour de Justice de l'Union européenne. 

L'arrêt que la CJUE a rendu le 29 juillet 2019, Fashion ID, est tout aussi important.  Comme le précédent, il tranche nettement une question essentielle : qui doit faire la police des consentements dans l'espace numérique.

Et la réponse est : tous les acteurs numériques qui en tirent profit.

Il en résulte donc un "intermaillage" (sur cette notion qui est l'avenir du Droit de la Compliance dans le numérique, v. Frison-Roche, M.-A., L'apport du Droit de la Compliance dans Internet, 2019).

Voir ci-dessous l'analyse de l'arrêt.