âŸïžsuivre Marie-Anne Frison-Roche sur LinkedIn
âŸïžs'abonner Ă la Newsletter MAFR Regulation, Compliance, Law
____
âș RĂ©fĂ©rence complĂšte : M.-A. Frison-Roche, "Compliance & Contrat / lien entre Consentement et VolontĂ© ; enjeu de responsabilitĂ© personnelle : CNIL, 15 juin 2023, Criteo", Newsletter MAFR Law, Compliance, Regulation, 15 juillet 2023.
____
đ§Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation
____
đ§±L'obligation lĂ©gale de Compliance doit ĂȘtre exĂ©cutĂ©e grĂące Ă des contrats, mais l'on ne peut s'en dĂ©charger par des contrats : CNIL, 15 juin 2023, Criteo
____
đ§lire l'article —ïž
Le Droit de la Compliance repose sur le fait de confier aux opĂ©rateurs Ă©conomiques la charge d'assurer eux-mĂȘmes la gestion des risques systĂ©miques dont ils ont Ă©ventuellement eux-mĂȘmes contribuĂ© Ă la survenance. Cela justifie qu'ils soient en permanence supervisĂ©s par des AutoritĂ©s publiques. DĂšs les annĂ©es 1980 en France comme en Allemagne, les organisations publiques ou privĂ©es qui constituent des fichiers contenant des informations sur des personnes doivent les constituer et les gĂ©rer de sorte que les personnes concernĂ©es soient protĂ©gĂ©es par la façon de faire du gestionnaire. Le vocabulaire a changĂ© et le Droit des "donnĂ©es Ă caractĂšre personnel" s'est sophistiquĂ©, les textes se sont accumulĂ©s, le RGPD en premier lieu, se sont croisĂ©s, notamment avec le Droit de la cybersĂ©curitĂ©, mais le principe est restĂ© le mĂȘme, et le rĂŽle de la CNIL demeure identique : venir en appui, sanctionner au besoin, pour que les personnes bĂ©nĂ©ficient de l'espace numĂ©rique et ne deviennent pas la matiĂšre premiĂšre de l'industrie du numĂ©rique.
La pratique de sanction de la CNIL participe activement à cela, notamment par la publicité que l'Autorité en fait :
đŽA. Linden, đMotivation et publicitĂ© des dĂ©cisions de la formation restreinte de la Commission nationale de lâinformatique et des libertĂ©s (CNIL) dans une perspective de compliance, 2023
La personne bénéficie de nombreux services en donnant son "consentement".
I. INTIMITĂ ET FRACTURE ENTRE VOLONTĂ ET CONSENTEMENT
Le consentement est l'une des plus anciennes notions juridiques : dans une relation à autrui la personne exprime sa volonté et la rencontre que sa volonté opÚre avec la volonté de l'autre par ce consentement (la rencontre des consentements) : ainsi le consentement est la preuve de la volonté libre et éclairée. Le consentement est donc une notion fondamentale du Droit des obligations : la personne est obligée parce qu'elle a engagé sa libre volonté, l'expression de son consentement étant la preuve de cela.
đŽM.-A. Frison-Roche, đRemarques sur la distinction entre la volontĂ© et le consentement en droit des contrats, 1995
La difficulté du numérique vient du fait qu'il constitue comme un "marché des consentements", chacun cliquant et recliquant pour accéder à des objets de désir sans exprimer une libre volonté de transférer des valeurs que sont les informations qui nous concernent et sans avoir conscience ni de ce transfert, ni de leur usage qui en sera fait : le numérique a contribué à la fracture entre Consentement et Volonté, cette fracture entre les deux étant parfois le modÚle économique et financier de nombreux opérateurs.
II. LE ROLE DES AUTORITĂS DE SUPERVISION POUR QUE LE CONSENTEMENT EXPRIME LA LIBRE VOLONTĂ
La fonction de l'AutoritĂ© publique peut ĂȘtre de renouer cette intimitĂ© entre VolontĂ© et Consentement.
đŽM.-A. Frison-Roche, đ§Oui au principe de la volontĂ©, Non aux consentements purs, 2018
De la mĂȘme façon que c'est au RĂ©gulateur de superviser les contrats d'accĂšs aux rĂ©seaux pour que le droit d'accĂšs soit effectif, afin que le Droit de la RĂ©gulation demeure la marque d'une organisation libĂ©rale de l'Ă©conomie bien qu'elle prenne une forme Ex Ante, c'est ici au RĂ©gulateur d'intervenir, y compris Ă travers son pouvoir de sanction, pour que le consentement, fĂ»t-il dĂ©versĂ© par masse de clics, demeure l'expression de libres volontĂ©s des personnes, car le Droit de la Compliance, prolongement du Droit de la RĂ©gulation, doit demeurer la marque d'un droit libĂ©ral, c'est-Ă -dire ayant en son cĆur le principe de libertĂ©.
C'est ce qu'illustre la décision de sanction prononcée par la CNIL le 15 juin 2023 contre la société Criteo.
L'activité de celle-ci est décrite par la décision comme étant le ""reciblage publicitaire", qui consistent à suivre les habitudes de navigation des internautes pour leur afficher des publicités personnalisées, au moyen de cookies déposés dans les terminaux des utilisateurs.".
La dĂ©cision dĂ©crit la procĂ©dure, qui dĂ©bute par une plainte d'une association, notamment les contrĂŽles sur place, les demandes de documents (notamment les contrats avec les tiers) et la demande de publicitĂ© formulĂ©e par le rapporteur, en ces termes : "[...] Le 9 juin 2022, le rapporteur a adressĂ© une demande complĂ©mentaire Ă la sociĂ©tĂ© pour se voir notamment communiquer les derniĂšres versions des conditions gĂ©nĂ©rales dâutilisation des services Criteo, ainsi quâun Ă©chantillon rĂ©cent de contrats conclus par la sociĂ©tĂ© avec ses partenaires. La sociĂ©tĂ© y a rĂ©pondu le 17 juin 2022 [...] Le 3 aoĂ»t 2022, Ă lâissue de son instruction, le rapporteur a fait notifier Ă la sociĂ©tĂ© un rapport dĂ©taillant les manquements aux articles 7, 12, 13, 15, 17 et 26 du RGPD quâil estimait constituĂ©s en lâespĂšce [...] Ce rapport proposait Ă la formation restreinte de la Commission de prononcer une amende administrative Ă lâencontre de la sociĂ©tĂ© dâun montant qui ne saurait ĂȘtre infĂ©rieur Ă soixante millions dâeuros. Il proposait Ă©galement que cette dĂ©cision soit rendue publique et ne permette plus dâidentifier nommĂ©ment la sociĂ©tĂ© Ă lâexpiration dâun dĂ©lai de deux ans Ă compter de sa publication.".
Une autre partie de la dĂ©cision porte sur la question de savoir si les donnĂ©es manipulĂ©es par Criteo peuvent ĂȘtre qualifiĂ©es juridiquement de "personnelles", Criteo allĂ©guant qu'elles ne le peuvent pas, mais la CNIL retient la qualification qui dĂ©clenche le rĂ©gime protecteur car "si la sociĂ©tĂ© ne dispose pas directement de lâidentitĂ© des personnes physiques auxquelles sont liĂ©s les terminaux sur lesquels des cookies sont inscrits, la rĂ©identification peut ĂȘtre facilitĂ©e par le fait que, dans certaines hypothĂšses, la sociĂ©tĂ© collecte, outre les donnĂ©es liĂ©es aux Ă©vĂšnements de navigation, dâautres donnĂ©es qui facilitent la rĂ©identification telles que les adresses Ă©lectroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifiĂ© (ou " loguĂ© ") sous forme hachĂ©e, des identifiants leur correspondant gĂ©nĂ©rĂ©s par dâautres acteurs, lâadresse IP sous forme hachĂ©e ou encore lâagent utilisateur du terminal utilisĂ©.".
DĂšs lors, la preuve d'un consentement librement donnĂ© doit ĂȘtre apportĂ©e.
III. LA DĂMONSTRATION D'UN CONSENTEMENT LIBREMENT APPORTĂ RELĂVE DE LA RESPONSABILITĂ PERSONNELLE EX ANTE DE L'ENTREPRISE, INDEPENDAMMENT DE L'ORGANISATION CONTRACTUELLE
Or, selon les observations faites par le rapporteur, "la sociĂ©tĂ© nâa mis en place aucune mesure lui permettant de sâassurer que les donnĂ©es Ă caractĂšre personnel quâelle traite sont uniquement celles pour lesquelles un consentement valable de la personne a Ă©tĂ© recueilli".
Plus important encore, la dĂ©cision relĂšve que la sociĂ©tĂ© nâavait pas mis en Ćuvre de mĂ©canisme dâaudit de ses partenaires.
La défense de l'entreprise a consisté à soutenir que ses partenaires ont "la qualité de responsables conjoints de traitement, restent les mieux placés pour collecter le consentement des personnes concernées en ce que le cookie Criteo est déposé dans le terminal des internautes lors de la navigation sur leur site web".
Criteo Ă©voque pour cela non seulement l'arrĂȘt de la Cour de justice Fashion qui valide cette qualitĂ©, mais encore les conditions gĂ©nĂ©rales et les accords conclus avec les diffĂ©rents partenaires qui bĂ©nĂ©ficient de ses services.
L'entreprise en avait quant Ă elle dĂ©duit que : "[...] cette rĂ©partition contractuelle est suffisante pour assurer le respect de cette obligation, qui sâimpose Ă ses partenaires en vertu du principe de force obligatoire des contrats.".
Ce raisonnement n'est pas suivi par l'autoritĂ© de rĂ©gulation. En effet, pour la CNIL, "le fait que la collecte du consentement des internautes pour la mise en Ćuvre du traitement en cause revienne aux partenaires nâexonĂšre pas la sociĂ©tĂ© de son obligation, en application de lâarticle 7 du RGPD, dâĂȘtre en mesure de dĂ©montrer que la personne concernĂ©e a donnĂ© son consentement.".
L'entreprise reste ainsi du fait des lois responsable personnellement, quels que soient les mécanismes contractuels mis par ailleurs en place (engagements des partenaires, audit, etc.), ce qui peut engendrer un double régime de responsabilités mais pas un transfert.
IV. L'ANALOGIE AVEC L'OBLIGATION DE VIGILANCE, POINTE AVANCĂE DE L'OBLIGATION DE COMPLIANCE
La CNIL sanctionne Criteo car elle estime que c'est à celle-ci de s'assurer du libre consentement des internautes (c'est-à -dire du lien entre Volonté et Consentement).
L'obligation de compliance repose sur Criteo, qui ne peut donc pas utiliser le Droit des contrats pour se délester de son Obligation légale de Compliance.
đŽM.-A. Frison-Roche, đContrat de compliance, clauses de compliance, 2023
C'est exactement le mĂȘme raisonnement qui s'applique Ă propos de l'obligation de vigilance.
En effet les entreprises assujetties par la loi à l'obligation de vigilance peuvent exécuter celle-ci en ayant recours à des contrats, soit spécifiques, soit par des stipulations insérées dans des contrats qui organisent la chaßne de valeur qu'elles maßtrisent
đŽM.-A. Frison-Roche, đPenser et manier la Vigilance par ses Buts Monumentaux de Compliance, 2023
Mais il est exclu, aussi bien dans l'esprit des RĂ©gulateurs que des Juges que des LĂ©gislateurs, que le contrat puisse ĂȘtre un moyen pour se dĂ©charger de sa responsabilitĂ©. Cela est notamment expressĂ©ment posĂ© dans la directive europĂ©enne en cours de vote sur le devoir de vigilance (Corporate Sustainability Due Diligence Directive - CS3D).
Ainsi, la décision de la CNIL rappelle ici ce qui est une rÚgle générale du Droit de la Compliance : celui-ci engendre sur les opérateurs puissants une "responsabilité personnelle Ex Ante".
đŽM.-A. Frison-Roche, đLa responsabilitĂ© Ex Ante, pilier du Droit de la Compliance, 2022
La CNIL écarte d'ailleurs le précédent évoqué de la décision Fashion au nom de la volonté du Législateur de "responsabiliser" l'entreprise.
Cela valide la qualification des procÚs en matiÚre de Compliance qui sont non pas tant des procÚs en "responsabilité", mais des procÚs en "responsabilisation" :
đŽN. Cayrol, đDes principes processuels en Droit de la Compliance, 2023
________
comments are disabled for this article