📧Compliance & Contrat / lien entre Consentement et Volonté ; enjeu de responsabilité personnelle : CNIL, 15 juin 2023, Criteo

Le Droit de la Compliance repose sur le fait de confier aux opérateurs économiques la charge d'assurer eux-mêmes la gestion des risques systémiques dont ils ont éventuellement eux-mêmes contribué à la survenance. Cela justifie qu'ils soient en permanence supervisés par des Autorités publiques. Dès les années 1980 en France comme en Allemagne, les organisations publiques ou privées qui constituent des fichiers contenant des informations sur des personnes doivent les constituer et les gérer de sorte que les personnes concernées soient protégées par la façon de faire du gestionnaire. Le vocabulaire a changé et le Droit des "données à caractère personnel" s'est sophistiqué, les textes se sont accumulés, le RGPD en premier lieu, se sont croisés, notamment avec le Droit de la cybersécurité, mais le principe est resté le même, et le rôle de la CNIL demeure identique : venir en appui, sanctionner au besoin, pour que les personnes bénéficient de l'espace numérique et ne deviennent pas la matière première de l'industrie du numérique.

La pratique de sanction de la CNIL participe activement à cela, notamment par la publicité que l'Autorité en fait :

🔴A. Linden, 📝Motivation et publicité des décisions de la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) dans une perspective de compliance, 2023

La personne bénéficie de nombreux services en donnant son "consentement".

I. INTIMITÉ ET FRACTURE ENTRE VOLONTÉ ET CONSENTEMENT

Le consentement est l'une des plus anciennes notions juridiques : dans une relation à autrui la personne exprime sa volonté et la rencontre que sa volonté opère avec la volonté de l'autre par ce consentement (la rencontre des consentements) : ainsi le consentement est la preuve de la volonté libre et éclairée. Le consentement est donc une notion fondamentale du Droit des obligations : la personne est obligée parce qu'elle a engagé sa libre volonté, l'expression de son consentement étant la preuve de cela.

🔴M.-A. Frison-Roche, 📝Remarques sur la distinction entre la volonté et le consentement en droit des contrats, 1995

La difficulté du numérique vient du fait qu'il constitue comme un "marché des consentements", chacun cliquant et recliquant pour accéder à des objets de désir sans exprimer une libre volonté de transférer des valeurs que sont les informations qui nous concernent et sans avoir conscience ni de ce transfert, ni de leur usage qui en sera fait : le numérique a contribué à la fracture entre Consentement et Volonté, cette fracture entre les deux étant parfois le modèle économique et financier de nombreux opérateurs.

II. LE ROLE DES AUTORITÉS DE SUPERVISION POUR QUE LE CONSENTEMENT EXPRIME LA LIBRE VOLONTÉ

La fonction de l'Autorité publique peut être de renouer cette intimité entre Volonté et Consentement.

🔴M.-A. Frison-Roche, 🚧Oui au principe de la volonté, Non aux consentements purs, 2018

De la même façon que c'est au Régulateur de superviser les contrats d'accès aux réseaux pour que le droit d'accès soit effectif, afin que le Droit de la Régulation demeure la marque d'une organisation libérale de l'économie bien qu'elle prenne une forme Ex Ante, c'est ici au Régulateur d'intervenir, y compris à travers son pouvoir de sanction, pour que le consentement, fût-il déversé par masse de clics, demeure l'expression de libres volontés des personnes, car le Droit de la Compliance, prolongement du Droit de la Régulation, doit demeurer la marque d'un droit libéral, c'est-à-dire ayant en son cœur le principe de liberté.

C'est ce qu'illustre la décision de sanction prononcée par la CNIL le 15 juin 2023 contre la société Criteo.

L'activité de celle-ci est décrite par la décision comme étant le ""reciblage publicitaire", qui consistent à suivre les habitudes de navigation des internautes pour leur afficher des publicités personnalisées, au moyen de cookies déposés dans les terminaux des utilisateurs.".

La décision décrit la procédure, qui débute par une plainte d'une association, notamment les contrôles sur place, les demandes de documents (notamment les contrats avec les tiers) et la demande de publicité formulée par le rapporteur, en ces termes : "[...] Le 9 juin 2022, le rapporteur a adressé une demande complémentaire à la société pour se voir notamment communiquer les dernières versions des conditions générales d’utilisation des services Criteo, ainsi qu’un échantillon récent de contrats conclus par la société avec ses partenaires. La société y a répondu le 17 juin 2022 [...] Le 3 août 2022, à l’issue de son instruction, le rapporteur a fait notifier à la société un rapport détaillant les manquements aux articles 7, 12, 13, 15, 17 et 26 du RGPD qu’il estimait constitués en l’espèce [...] Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative à l’encontre de la société d’un montant qui ne saurait être inférieur à soixante millions d’euros. Il proposait également que cette décision soit rendue publique et ne permette plus d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.".

Une autre partie de la décision porte sur la question de savoir si les données manipulées par Criteo peuvent être qualifiées juridiquement de "personnelles", Criteo alléguant qu'elles ne le peuvent pas, mais la CNIL retient la qualification qui déclenche le régime protecteur car "si la société ne dispose pas directement de l’identité des personnes physiques auxquelles sont liés les terminaux sur lesquels des cookies sont inscrits, la réidentification peut être facilitée par le fait que, dans certaines hypothèses, la société collecte, outre les données liées aux évènements de navigation, d’autres données qui facilitent la réidentification telles que les adresses électroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifié (ou " logué ") sous forme hachée, des identifiants leur correspondant générés par d’autres acteurs, l’adresse IP sous forme hachée ou encore l’agent utilisateur du terminal utilisé.".

Dès lors, la preuve d'un consentement librement donné doit être apportée.

III. LA DÉMONSTRATION D'UN CONSENTEMENT LIBREMENT APPORTÉ RELÈVE DE LA RESPONSABILITÉ PERSONNELLE EX ANTE DE L'ENTREPRISE, INDEPENDAMMENT DE L'ORGANISATION CONTRACTUELLE

Or, selon les observations faites par le rapporteur, "la société n’a mis en place aucune mesure lui permettant de s’assurer que les données à caractère personnel qu’elle traite sont uniquement celles pour lesquelles un consentement valable de la personne a été recueilli".

Plus important encore, la décision relève que la société n’avait pas mis en œuvre de mécanisme d’audit de ses partenaires.

La défense de l'entreprise a consisté à soutenir que ses partenaires ont "la qualité de responsables conjoints de traitement, restent les mieux placés pour collecter le consentement des personnes concernées en ce que le cookie Criteo est déposé dans le terminal des internautes lors de la navigation sur leur site web".

Criteo évoque pour cela non seulement l'arrêt de la Cour de justice Fashion qui valide cette qualité, mais encore les conditions générales et les accords conclus avec les différents partenaires qui bénéficient de ses services.

L'entreprise en avait quant à elle déduit que : "[...] cette répartition contractuelle est suffisante pour assurer le respect de cette obligation, qui s’impose à ses partenaires en vertu du principe de force obligatoire des contrats.".

Ce raisonnement n'est pas suivi par l'autorité de régulation. En effet, pour la CNIL, "le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revienne aux partenaires n’exonère pas la société de son obligation, en application de l’article 7 du RGPD, d’être en mesure de démontrer que la personne concernée a donné son consentement.".

L'entreprise reste ainsi du fait des lois responsable personnellement, quels que soient les mécanismes contractuels mis par ailleurs en place (engagements des partenaires, audit, etc.), ce qui peut engendrer un double régime de responsabilités mais pas un transfert.

IV. L'ANALOGIE AVEC L'OBLIGATION DE VIGILANCE, POINTE AVANCÉE DE L'OBLIGATION DE COMPLIANCE

La CNIL sanctionne Criteo car elle estime que c'est à celle-ci de s'assurer du libre consentement des internautes (c'est-à-dire du lien entre Volonté et Consentement).

L'obligation de compliance repose sur Criteo, qui ne peut donc pas utiliser le Droit des contrats pour se délester de son Obligation légale de Compliance.

🔴M.-A. Frison-Roche, 📝Contrat de compliance, clauses de compliance, 2023

C'est exactement le même raisonnement qui s'applique à propos de l'obligation de vigilance.

En effet les entreprises assujetties par la loi à l'obligation de vigilance peuvent exécuter celle-ci en ayant recours à des contrats, soit spécifiques, soit par des stipulations insérées dans des contrats qui organisent la chaîne de valeur qu'elles maîtrisent

🔴M.-A. Frison-Roche, 📝Penser et manier la Vigilance par ses Buts Monumentaux de Compliance, 2023

Mais il est exclu, aussi bien dans l'esprit des Régulateurs que des Juges que des Législateurs, que le contrat puisse être un moyen pour se décharger de sa responsabilité. Cela est notamment expressément posé dans la directive européenne en cours de vote sur le devoir de vigilance (Corporate Sustainability Due Diligence Directive - CS3D).

Ainsi, la décision de la CNIL rappelle ici ce qui est une règle générale du Droit de la Compliance : celui-ci engendre sur les opérateurs puissants une "responsabilité personnelle Ex Ante".

🔴M.-A. Frison-Roche, 📝La responsabilité Ex Ante, pilier du Droit de la Compliance, 2022

La CNIL écarte d'ailleurs le précédent évoqué de la décision Fashion au nom de la volonté du Législateur de "responsabiliser" l'entreprise.

Cela valide la qualification des procès en matière de Compliance qui sont non pas tant des procès en "responsabilité", mais des procès en "responsabilisation" :

🔴N. Cayrol, 📝Des principes processuels en Droit de la Compliance, 2023

________