To read the summary of this Report in English, click on the British flag
Pour raisonner en principes, il faut connaître les faits : le Droit ne peut s’élaborer qu’en mesurant d’abord et le plus simplement possible ce à quoi aujourd’hui et maintenant les autorités publiques et les personnes font face dans le « monde digital », la question étant d’ampleur parce que le monde digital a digitalisé le monde. Le premier chapitre vise à prendre l’ampleur et la nouveauté de la situation, ce à quoi les Autorités publiques, les entreprises et les personnes font aujourd’hui face dans le « monde digital et le monde digitalisé.
Or, il faut admettre que la situation actuelle du monde digital n’est pas satisfaisante. Parce que seul le principe de liberté s’y est développé comme fondement Ex Ante et que le Droit ne s’y insère que ponctuellement que qu’en Ex Post, aucun autre principe général ne constitue pour le moment un pilier susceptible de constituer un équilibre face au principe de liberté. A tel point que certains voudraient « remettre de l’ordre » en attaquant la liberté, ce qui serait le pire. Cette situation perdure parce que la « personne » n’est pas reconnue à sa juste place dans le monde digital. Tant qu’un autre principe que celui-ci de la liberté n’est pas constitué, le Droit ne fait que « réagir » à chaque dégradation car l’on peut « réguler » Internet en ce que celui-ci a permis l’émergence d’un monde digital qui ne se réduit pas à un secteur, la réaction la plus à craindre au final étant l’attaque même du principe de liberté pour ramener de l’ordre.
Cela tient au fait qu’Internet renvoie aujourd’hui à un écosystème qui n’a été construit ni par les États dans une politique publique quelle que soit la zone du Monde dont il s’agit, ni par des individus isolés, mais par des décisions économiques prises par des entreprises qui ont développé des technologies nouvelles, permettant à des personnes d’entrer en contact sans se déplacer et sans coût. En cela et par nature, Internet est synonyme de liberté, l’inventeur du WEB, puis les entreprises de la Silicon Valley ayant voulu concrétiser ce principe auquel ils adhérent et dont la préservation est essentielle. Ce qui est devenu un monde est « tenu » par quelques entreprises, très diverses, dont le point commun est la maîtrise des « données ».
Face à cela, le Droit se constitue mais d’une façon seulement réactive : lorsqu’un comportement ou une situation par trop insupportable est repérée, un texte est adopté. Cela vient s’adosser à des systèmes juridiques qui demeurent légitimes pour s’appliquer dans le monde digital mais dont les formes classiques, aussi bien pénales que civiles, s’avèrent inefficaces, comme le montre l’exemple de la lutte contre la contrefaçon. Les régulateurs sectoriels parviennent sans trop de difficulté à intervenir pour ce qui les concerne dans le monde digital, mais cela n’est pas pour autant que celui-ci est régulé, parce que le monde digital n’est pas un secteur. Sont alors adoptés de nouveaux textes sur des objets très précis, comme par exemple le « droit d’auteur » ou les « discours de haine ». Mais tout cela ne peut pas constituer une « Régulation d’Internet », ce sont des mouvements de toutes parts, tous légitimes mais non couverts, non coordonnés, laissant des béances dans lesquelles le principe de liberté commence à vaciller. Les États ou les Autorités publiques cherchent alors à faire un sort particulier à ce qui seraient les entreprises de cette industrie particulière qui serait « l’industrie de la donnée », soit en élaborant des projets de nouveau Droit fiscal et en concevant d’une façon nouvelle le Droit de la concurrence.
Pourtant, se rapprochant de plus en plus du lien consubstantiel entre Internet, le monde digital et la maîtrise des données par les entreprises qui structurent ce monde, se dégage l’importance des organismes publics qui assurent la sécurité de circulation des données et la protection des personnes « concernées ».
Pour l’instant ces « réactions » des États et du Droit demeurent insuffisantes parce que pour l’instant le monde digital a pour simple principe de fonctionnement la technologie – qui n’est pas une norme - et pour seule norme Ex Ante la Liberté, ce qui est à la fois est un Principe qui est essentiel à préserver mais qui ne peut suffire lorsqu’il est la seule norme. En effet pour l’instant, l’être humain n’est pas protégé d’une façon générale par l’invention juridique qui le constitue comme une « personne », c’est-à-dire comme une titulaire actif et passif de droits et d’obligations.
Du caractère techniquement lacunaire des réactions du Droit dans le monde digital dans lequel les êtres humains ne sont pas protégés par le Principe de Personne, émerge un souci de civilisation, parce que le monde digital est technologiquement et par le seul Principe de Liberté un monde sans barrière où s’opère désormais « l’éducation » des êtres humains et les passions s’alimentent et se diffusent. Or, le monde dit « réel » s’étant digitalisé, les comportements appris sur Internet s’y diffusent, sans qu’aucun mécanisme général n’y ait fait barrière Ex Ante dans le monde digital. Sans considération de la « Personne », c’est le socle de l’Occident qui est en cause. Nous sommes tous face à un enjeu de civilisation, né de la technique et de l’usage légitime de la liberté d’entreprendre et nous ne savons pas quoi faire.
Une fois que cela est admis, le deuxième chapitre présente l’apport que pourrait faire le Droit de Compliance, en ce qu’au lieu de viser à diminuer la puissance des entreprises qui ont construit le monde digital, il s’appuie sur celle-ci. En cela, il peut constituer une solution générale, en internaliser dans les opérateurs numériques cruciaux un « but monumental », celui de la protection des personnes. Par la reconnaissance du principe de « Personne », serait ainsi bâti un second pilier libéral faisant face au principe de liberté et consolidant celui-ci tout en créant un équilibre.
En cela, le Droit de la Compliance peut constituer un apport aux solutions proposées pour remédier à cette situation très préoccupantes, en ce qu’il se définit comme l’internalisation dans les « opérateurs cruciaux » de « buts monumentaux », qui serait ici celui de protéger les êtres humains, en ce qu’ils sont, à travers le Principe de Personne, titulaire de droits subjectifs (I).
Le Droit de la Compliance est une branche du Droit nouvelle, qui consiste à internaliser dans les « entreprises cruciales » des buts fixés par l’autorité publique mais dont la concrétisation revient à certains opérateurs « en position » de les atteindre. En cela, le Droit de la Compliance permet sans se soucier des frontières ou des immatérialités de fixer des buts d’intérêt général très élevés (les « buts monumentaux ») et d’accroître la confiance que l’on peut faire aux « opérateurs cruciaux » qui se structurent pour les atteindre sur ordre des Autorités publiques.
Cet apport serait également de nature systémique, le Droit de la Compliance étant le prolongement du Droit de la Régulation. Le monde digital va de plus en plus perdre son bien public de confiance : par une meilleure protection des personnes, voire en les mettant au centre par la circulation des données ou au contraire leur garde, cette confiance peut revenir ou être conservée, ce qui est un enjeu systémique majeur.
En effet le but systémique de confiance justifie que l’Autorité publique pose dans le monde digital l’impératif de confiance dans la garde des informations et dans la fiabilité des informations et le filtrage des discours inadmissibles, notamment par rapport aux personnes qui sont concernées.
Le but systémique de la Confiance marquant Internet et le monde digital doit être posé, non seulement pour celui-ci mais encore pour « le monde digitalisé ». Cela engendre un « but à double-face » d’information qui, parfois pour la même information », parfois doit circuler, parfois ne doit pas circuler, parfois être partagée. On ne peut réconcilier ces buts concernant les mêmes informations qu’en internalisant les obligations de maniement des données à l’intérieur même des « opérateurs numériques cruciaux » par le Droit de la Compliance. Le cœur du Droit de la Compliance appliqué au monde digital est que les êtres humains, parce qu’ils sont des Personnes ne soient pas « dépossédées » d’elles-mêmes, but monumental s’appuyant sur le Principe de Personne venant en équilibre du Principe de Liberté, et rendant celui-ci soutenable à long terme.
Apparaît ainsi par le Droit de la Compliance la perspective d’une Europe pleinement numérique ayant deux piliers : le Principe de Liberté et le Principe de Personne. Le but systémique du Droit de la Compliance appliqué à Internet est d’une façon liée la Confiance et la protection des Personnes.
Les deux premiers chapitres ayant montré et la gravité de la situation et l’aptitude du Droit de la Compliance à apporter quelques solutions, les deux chapitre suivant ont pour objet de décliner les solutions concrètes. C’est à partir de ce moment-là que début les 55 propositions concrètes du Rapport.
Le troisième chapitre propose une première séries de solutions concrètes, consistant à s’appuyer sur les fragments d’un Droit européen de la Compliance, fragments qui sont très nombreux et qu’il faut activement rapprocher. Le Droit européen de la Compliance est déjà là, comme écrit à l’encore sympathique, n’attendant que son lecteur qui le recopie d’une façon plus ordonnée, il faut s’appuyer sur ce qui est déjà fait en la matière en Europe. C’est pourquoi il faut s’appuyer sur les réussites européennes à partir desquelles concevoir l’application du droit de la compliance dans le numérique : banque, finance et données personnelles.
Il faut mais il suffit de s’appuyer sur les réussites acquises mais remarquables, et si souvent copiées désormais, du Droit européen. Les branches du Droit dont il s’agit sont constitués de corpus de principes, règles, décisions et institutions complètes, auquel des manuels sont consacrés. Il n’en est ici exposé que les principes directeurs, pour éclairer l’état de maturité déjà très avancé de l’Europe en matière de Droit de la Compliance. Il faut mais il suffit de « tourner » la matière pour l’instant éparse vers l’espace numérique. Il s’agit du Droit européen de la Compliance bancaire et des outils de compliance qui y sont déjà développés, du Droit européen de la Compliance assurant la circulation des données et la protection des personnes concernées par cette circulation, du Droit européen de la Finance soutenable - dite « Finance verte » –.
Le droit américain est plus ancien, il n’est pas notre ennemi, il est notre allié naturel, en ce qu’il constitue comme l’Europe le socle du Droit occidental ayant les mêmes valeurs et accroître pour cela ce qui nous est commun, dans un monde où le modèle du Droit occidental n’est plus acquis.
C’est pourquoi il faut accroître ce qui est commun entre les droits européen et américain, constitutif du Droit occidental, car quand on évoque le corpus de Compliance, c’est l’image d’une sorte de guerre entre l’Europe et les Etats-Unis qui apparait, ce qui est inapproprié. il s’agit là d’un malentendu entre les européens et les américains, né d’une conception trop restrictive du Droit de la Compliance, ne correspondant pas à la réalité et tout malentendu a vocation à être dissipé.
Au contraire la première chose à relever et à accroitre est ce qui est la correspondance entre l’Europe et les Etats dans un Droit de la Compliance qui articule le Principe de Liberté, de la libre circulation et le respect de la Personne, marque de l’Occident, élément commun qu’il faut renforcer car le monde ne se résume pas à l’Occident, le numérique étant en train d’affaiblir, voire d’isoler ces principes.
En outre, il convient de tout faire pour avoir des principes communs pour ce monde global qu’est le digital, ce à quoi l’on ne peut pas ramener le droit américain lorsqu’il édicte des mesures locales hors de son territoire. Mais le Droit américain a développé une notion abstraite de la donnée, alors que le Droit européen en développe une conception concrète, la donnée devant tirer des régimes juridiques distincts et prévalant suivant ce qui la « concerne ».
Il faut développer cette conception concrète de la donnée, développée par le Droit européen, conception construite sur le « caractère » de la donnée (par exemple « à caractère personnel »), qui implique non plus des « appropriations » des données en masse mais au contraire des principes de disponibilité ou d’indisponibilité suivant ce qui la « concerne ».
Ainsi malgré leur socle commun, le Droit européen s’est distingué du Droit américain en récusant la conception américaine abstraite de la donnée pour retrouver son sous-jacent concret, qui est le plus souvent la Personne dans la donnée (son « caractère personnel »), et ce à quoi le Droit européen a donner par le Droit de la Compliance un effet déterminant en 2016. En effet, suivant en cela les droits français et allemand le Droit européen donne pertinence première à la finalité de la maîtrise de la donnée par rapport à la « personne concernée ».
Dès lors la circulation ou la transmission de données doit cesser, même si l’ordre en est donné par une autorité étrangère, dès l’instant qu’il s’agit de protéger la « personne concernée ». Cette primauté de la Personne dans le Droit européen, le Droit américain, y compris son Droit de la Compliance, doit le respecter, car il est constitutif de l’Europe-même.
Le quatrième chapitre consiste dans une seconde série de propositions concrètes s’appuyant sur l’internalisation par le Droit de la Compliance du but voulu par les Autorités publiques de l’effectivité des droits des personnes (dont le « droit à l’oubli » est le premier et fameux exemple).
Il s’agit par le Droit de la Compliance d’obtenir via les opérateurs numériques cruciaux l’effectivité des droits des êtres humains, c’est-à-dire de faire en sorte qu’elles soient effectivement reconnues comme des « personnes » dans le monde digital et le monde digitalisé.
Pour que le pilier systémique de Principe de la Personne soit effectif face au Principe de liberté, il faut internaliser dans les opérateurs cruciaux numériques des droits subjectifs des personnes dont les opérateurs sont comptables de l’effectivité.
En méthode, il faut repartir de la finalité, c’est-à-dire de la volonté politique imposée par les Autorités du respect effectif de la Personne, seul moyen pour que les êtres humains n’y soient pas broyés, injuriés, trompés, etc., afin que le bien systémique demeure, par la garde donnée aux opérateurs des droits subjectifs des personnes.
Le monde digital ne peut plus pas fonctionner qu’à partir d’un seul principe, celui de la Liberté, puis n’être l’objet que de réglementations éparses, si justifiées soient-elles chacune en ce qui les concerne. Au contraire parce que le système gagnera à que ces éclats de Droit convergent tous vers le second principe systémique du digital, à savoir le souci de la Personne, dans l’effectivité de ses droits, il faut que celui-ci soit clairement formulé.
Cette expression sous la forme d’un principe clair, simple et intelligible doit plutôt résulter d’un accord sur le fait que cela exprime la « culture européenne » dans ce sens et qu’à partir de là le Droit soit construit dans ce sens ou que les textes techniques déjà présents y retrouvent racine. La complexité des textes ne va pas dans ce sens, ce qui ne remet pas en cause ceux-ci – cette complexité étant requise par ailleurs, mais justifie un complément. Il convient de recourir au « droit souple » et d’encourager le rapprochement entre l’Europe économique et l’Europe des droits humains. Ce rapprochement est aujourd’hui essentiel.
Pour obtenir cette effectivité d’un Principe clairement posé et clairement partagé, il faut internaliser dans les opérateurs systémiques la charge de l’effectivité des droits des personnes. Alors même que le Droit créait des droits subjectifs nouveaux, comme le « droit d’accès à Internet », droit de valeur constitutionnelle qui s’appuie sur le principe d’un « internet ouvert » principe distinct de la=neutralité, principe que nul ne remet en cause, il convient au titre du second pilier d’affirmer comme principe second et égal le respect effectif de la personne, à travers l’effectivité de ses droits subjectifs. Car il ne suffit pas d’avoir des droits, alors faut-il qu’il soit effectif.
Or, si le Droit de la concurrence a su évoluer pour compléter des dispositifs particuliers et rendre effectif le droit d’accès, si le droit positif a évolué d’une façon fulgurante et en Ex Ante et en Ex Post concernant le droit à la vie privée au point que c’est le socle de départ du Droit européen de la Compliance numérique, l’on peut en douter concerner les droits de propriété intellectuelle. Il faut donc internaliser dans les opérateurs numériques cruciaux l’effectivité des droits de propriété intellectuelle, alors que ces droits subjectifs sont acquis dans leur principe...
Mais leur effectivité ne saurait être une obligation absolue pour les opérateurs numérique cruciaux, ce qui conduit à poser un nouveau système probatoire, sans attendre qu’il soit construit sur plusieurs années par les diverses juridictions, posant l’intensité diverse de l’obligation d’effectivité, comme est fait en Droit de la Compliance, qui articule obligations de moyens et obligations de résultat.
Par ailleurs, la nouveauté du monde digital et la digitalisation du monde justifie la création par le Droit de droits subjectifs nouveaux, concrétisant le Principe de Personne et protégeant les êtres humains. C’est ainsi qu’il faut passer du « droit d’accès » qui est acquis au « droit à l’inclusion numérique ».
Puisqu’il est parfois prétendu qu’il existerait des « droit à injurier », il faut établir des « droits subjectifs négatifs » pour prévenir les dérives du Principe de Liberté qui sont autant d’agressions des personnes et mettent en incohérence Liberté et Droits des personnes. Ces droits subjectifs négatifs, ayant un pouvoir d’opposabilité Ex Ante, sont par exemple le « droit à n’être pas injurié », « le droit à n’être pas haï », etc.
Il faut ainsi aller résolument et systématiquement vers ces droits subjectifs nouveaux, et conférer aux internautes, souvent de nature « négative ».
Parce que ces obligations ne sont imposées à ces opérateurs numériques qu’en tant qu’ils sont « cruciaux », ceux-ci ont donc un rôle de régulateurs de second niveau d’une part et doivent disposer des pouvoirs nécessaires pour exécuter leurs obligations générales nouvelles d’autre part.
Puisque ce monde nouveau qui met en danger les êtres humains parce qu'il n’a comme seul pilier que le Principe de Liberté il doit s’appuyer sur un second pilier, celui de la Personne. Comme il est tenu par des opérateurs numériques cruciaux, c’est en leur sein que des obligations nouvelles doivent être internalisées, notamment quant au sort des informations qui viennent à eux, ce qui leur donne une obligation en miroir de diffusion des informations mais avant cela-même de la garde de celles-ci, voir du secret de celles-ci. De par leur position, dotés de tant de pouvoirs, autant qu’il s’agisse de pouvoirs de droit plutôt qu’il ne s’agisse que de pouvoirs de fait incontrôlés et dessinés par eux-mêmes, il faut reconnaître en conséquence aux opérateurs numériques cruciaux le statut de Régulateurs de second niveau.
Il est vrai que les opérateurs numériques ne se ressemblent pas, les internautes non plus, les choses, prestations et discours non plus. A cette diversité, seul un but peut unifier la Gouvernance d’Internet : l’articulation entre Protection de la Liberté et la Protection de la Personne. Suivant ce qu’exige la protection de la Personne, l’obligation -et les pouvoirs corrélés à celle-ci – va varier. Le principe doit en être la garde par l’opérateur numérique cruciaux des informations concernant la personne, leur manipulation relevant donc d’une exception – c’est-à-dire d’une justification à fournir, ce qui renvoie à un système de charge de preuve à établir.
En outre, l’opérateur peut être contraint de ne pas diffuser un contenu qui met en danger une personne. Par ailleurs, un tel opérateur est en train de devenir le garant de la coïncidence entre le contenu des messages et la qualité d’une « information » pour que celle-ci soit appréciée comme fiable.
Peut-on aller plus loin, et notamment au regard de la digitalisation du monde dit » réel », peut-on considérer une obligation de « civilité » à la charge des opérateurs de ce qu’ils accueillent ou de ce que à quoi ils mènent ? Leur reconnaître une telle charge, c’est leur légitimer l’ampleur d’un tel pouvoir. C’est un choix politique.
En toutes hypothèses, l’apport du Droit de la Compliance dans la Gouvernance d’Internet ne peut se faire sans dessiner une supervision institutionnelle des opérateurs numériques cruciaux car cela les dessine comme étant des « régulateurs de second niveau ».
Il est essentiel de leur reconnaître de Droit cette qualité. En effet, les obligations accrues des opérateurs numériques cruciaux, en raison de leur position, justifient que leur soient reconnu le statut de « Régulateur de second niveau ».
Cela justifie la titularité et l’exercice de leur pouvoir disciplinaire nécessaire Ex Ante. Cela ouvre une perspective nouvelle pour des opérateurs numériques cruciaux BtoB. Cela les soumet à tous les obligations, notamment d’impartialité, inhérentes au statut de « Régulateur », aujourd’hui très stabilisé.
Comme pour tous les Régulateurs de second niveau, il convient alors d’organiser leur supervision. Celle-ci a vocation à se faire au niveau européen, ce qui est techniquement possible sans bouleversement institutionnel majeur par un intermaillage à la fois horizontal et vertical dans lequel la DG Connect de la Commission européenne a vocation à être au centre.
____
comments are disabled for this article