♾️ follow Marie-Anne Frison-Roche on LinkedIn

♾️ subscribe to the Newsletter MAFR Regulation, Compliance, Law 

____

► Full Reference: M.-A. Frison-Roche, "Conforter le rôle du Juge et de l'Avocat pour imposer la Compliance comme caractéristique de l'État de Droit" ("Reinforce the Judge and the Attorney to impose Compliance Law as a characteristic of the Rule of Law"), in M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 29-55. 

____

► This article is the introduction of the book.  

____

📝read the article (in French)

____

🚧read the bilingual Working Paper which is the basis of this article, with additional developments, technical references and hyperlinks 

____ 

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► Summary of the article (done by the Journal of Regulation & Compliance): One can understand that the compliance mechanisms are presented with hostility because they seem designed to keep the judge away, whereas there is no Rule of Law without a judge. Solid arguments present compliance techniques as converging towards the uselessness of the judge (I). Certainly, we come across magistrates, and of all kinds, and powerful ones, but that would be a sign of imperfection: its ex-ante logic has been deployed in all its effectiveness, the judge would no longer be required... And the lawyer would disappear so with him...

This perspective of a world without a judge, without a lawyer and ultimately without Law, where algorithms could organize through multiple processes in Ex Ante the obedience of everyone, the "conformity" of all our behaviors with all the regulatory mass that is applicable to us, supposes that this new branch of Law would be defined as the concentration of processes which gives full effectiveness to all the rules, regardless of their content. But supposing that this engineer's dream is even achievable, it is not possible in a democratic and free world to do without judges and lawyers.

Therefore, it is imperative to recognize their contributions to Compliance Law, related and invaluable contributions (II).

First of all, because a pure Ex Ante never existed and even in the time of the Chinese legists, people were still needed to interpret the regulations because a legal order must always be interpreted Ex Post by who must in any case answer the questions posed by the subjects of law, as soon as the political system admits to attributing to them the right to make claims before the Judge. Secondly the Attorney, whose office, although articulated with the Judge's office, is distinct from the latter, both more restricted and broader since he must appear in all cases where the judicial figure puts himself in square, outside the courts. However, Compliance Law has multiplied this since not only, extending Regulatory Law, it entrusts numerous powers to the administrative authorities, but it also transforms companies into judges, in respect of which the attorneys must deal with.

Even more so, Compliance Law only takes its sense from its Monumental Goals. It is in this that this branch of the Law preserves the freedom of human beings, in the digital space where the techniques of compliance protect them from the power of companies by the way that the Compliance Law forces these companies to use their power to protect people. However, firstly, it is the Judges who, in their diversity, impose as a reference the protection of human beings, either as a limit to the power of compliance tools or as their very purpose. Secondly, the Attorney, again distinguishing himself from the Judge, if necessary, reminds us that all the parties whose interests are involved must be taken into consideration. In an ever more flexible, soft, and dialogical Law, everyone presenting himself as the "advocate" of such and such a monumental goal: the Attorney is legitimate to be the first to occupy this place.

________

► Full Reference: J. Jourdan-Marques, "L’arbitre, juge ex ante de la compliance ?" ("The arbitrator, ex ante judge of compliance?"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 317-334. 

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► The summary below describes an article which follows an intervention in the scientific manifestation L'entreprise instituée Juge et Procureur d'elle-même par le Droit de la Compliance ("The company instituted Judge and Prosecutor of itself by Compliance Law"), co-organized by the Journal of Regulation & Compliance (JoRC) and the  Faculty of Law Lyon 3. This colloquium was designed by Marie-Anne Frison-Roche and Jean-Christophe Roda, scientific co-directors, and took place in Lyon on June 23, 2021.

Due to the very close proximity of the content of this article to a scientific manifestation that was held previously, in the same series of colloquia, manifestation on Compliance and Arbitration, designed by Marie-Anne Frison-Roche and Jean-Baptiste Racine, and which took place in Paris on March 31, 2021 in Paris, it was decided with the author and the scientific managers of the scientific events concerned to publish the article not in Title I of the book, devoted to the topic of the Company instituted Judge and Prosecutor of itself by Compliance Law, but in Title III, devoted to the topic of Compliance and International Arbitration.

____

► Summary of the article (done by the Journal of Regulation & Compliance) :  The article begins with a long introduction relating to the general relationship between Compliance and Arbitration.

Then the author in a first part examines the place of the Arbitration upstream of the occurrence of the dispute, aiming at the relations of the company in its organization with other companies for its economic activities, for example commercial agents. The author examines the way in which Arbitration can resolve difficulties which arise between them, including when these issues are otherwise apprehended by Compliance Law and the institutions in charge of it, in particular because of the facts of corruption are alleged and the fact is alleged by the debtor himself when payment has not yet been requested by the creditor. The legal question then becomes whether or not there is a "dispute".

Being even further upstream, the author takes the hypothesis of the adoption of a compliance program in which recourse to arbitration would be inserted by the Company, insertion which could then be at the origin of exemption from criminal liability, an arbitration award being able to produce such an effect if it is recognized in the legal order. 

The second part of the article considers Arbitration in the absence of multiple parties, which could correspond to the acts issued by the Oversight Board of Facebook, this kind of tribunal and judge not being seized by parties to a litigation. It might be adequate to qualify this mechanism as an arbitration, even if this qualification is difficult to retain. In any case, if we did so by admission that a unilateral request gives rise to a jurisdictional mission, there should be guarantees surrounding such institutionalization. They can go through specific bodies for Compliance cases, outside or within existing arbitration institutions, which must then become the driving force in the matter. In addition, the choice of arbitrators should undoubtedly go through the institution itself so that impartiality remains unchallenged and profiles of arbitrators would be truly varied. The procedure would also have vocation to be inflected because of the absence of real litigation, justifying the adjustment of the adversarial principle (in the narrow sense of this one, linked to the debate) in particular by the intervention of amicus curiae and to avoid the fraud through arbitration and in procedure. In the absence of an adversary, the procedural office of the arbitrator could be reconsidered: without modifying the terms of the case, it would be appropriate for the arbitrator to have more power to decide on the adequate measures to be taken to remedy the non- conformity with compliance requirements. Finally, publicity seems to the author essential so that the arbitration is not instrumentalised by the parties, publicity which could also concern the debates and the documents produced. These admittedly very high requirements would in return give great credibility to the resulting award, justifying its scope, and one could consider labeling such a result, a label that the company could claim. 

The author concludes that these transformations would move away so much from Arbitration that it would denature it, in particular because of the absence of litigation, but this allows Companies to outsource the management of the more and more heavier responsibility engendered by Compliance Law, by offering Compagnies the assistance of a judicial authority, as soon as the procedural guarantees are reinforced.

________

► Full Reference: O. Douvreleur, "Compliance et juge du droit" ("Compliance and Judge ruling only on points of Law"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 465-471. 

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► Summary of the article (done by the Journal of Regulation & Compliance): Compliance maintains with the judge complex relations, and even more with the judge ruling only on points of Law  (in France, the Court de Cassation in the judicial order, the one who, in principle, does not know the facts that he leaves to the sovereign appreciation of the judges ruling on the substance of the disputes. At first glance, compliance is a technique internalised in companies and the place occupied by negotiated justice techniques leave little room for intervention by the judge ruling only on points of Law

However, his role is intended to develop, in particular with regard to the duty of vigilance or in the articulation between the different branches of Law when compliance meets Labor Law, or even in the adjustment between American Law and the other legal systems, especially French legal system. The way in which the principle of Proportionality will take place in Compliance Law is also a major issue for the judge ruling only on points of Law.

________

🌐 follow Marie-Anne Frison-Roche on LinkedIn

🌐 subscribe to the Newsletter MAFR Regulation, Compliance, Law 

____

► Full Reference: M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, série "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, 490 p. 

____

► Presentation of this book: Sanctions, controls, appeals, deals: judges and lawyers are everywhere in the Compliance mechanisms, creating unprecedented situations, sometimes without a solution yet available.  Even though Compliance was designed to avoid the judge and produce security by avoiding conflict. This jurisdictionalisation is therefore new. Forcing companies to prosecute and judge, a constrained role, perhaps against their nature. Leading to the adaptation of major procedural principles, with difficulty. Confronting arbitration with new perspectives. Putting the judge at heart, in mechanisms designed so that he is not there. How in practice to organize these opposites and anticipate the solutions? This is the challenge taken up by this book.

____

📘 In parallel, the English version of this book, Compliance Jurisdictionalisation, is published in the series co-published by the Journal of Regulation & Compliance (JoRC) and Bruylant. 

____

🧮 This book comes after a cycle of colloquia organised in 2021 by the Journal of Regulation & Compliance (JoRC) and its Academic Partners.

____

This volume is the continuation of the books dedicated to Compliance in the collection "Régulations & Compliance", founded and managed by Marie-Anne Frison-Roche, copublished by the Journal of Regulation & Compliance (JoRC) and Dalloz.

___

🏗️ General construction of this book:

The book begins by a double Introduction, the first (in free access) summarizing the book, the second, substantial, relating to the need to reinforce the Judge and the Lawyer to impose the Compliance Law as a characteristic of the Rule of Law. 

The first Part is devoted to what is specific to Compliance Law. of Compliance: the transformation of companies into Prosecutors and Judges of themselves, even of others.

The second Part relates to Compliance general procedural Law, the procedure being the way between the dispute and the judgement. 

The third Part continues this journey to the judge and aims to measure the influence of the reasoning and requirements of Compliance Law in dispute resolution methods where it was not, with some exceptions, present, but where it has a great future: Arbitration.

Because trial and judicial decision are inseparable, because legal techniques and the Rule of Law should not be divided but compliance techniques could paradoxically be the weapon of their dissociation, because the power to judge and the procedures surrounding the latter must not be dissociated, because therefore Compliance mechanisms and the Rule of Law must be thought out and practiced then, the rise in power of one must be the sign of the rise in power of the other, and not the price of the 'weakening of the Rule of Law, the fourth Part relates to the Judges in the Compliance mechanisms and culture. 

____

► Read in free access the article: M.A. Frison-Roche, "Lignes de force de l'ouvrage La Juridictionnalisation de la Compliance" (Lines of Forces of the book La juridictionnalisation de la Compliance).

____

►Read below the summaries of each contribution of the book⤵️

► Full Reference: N. Cayrol, "Des principes processuels en droit de la compliance" ("General Procedural Law in Compliance Law"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 213-224. 

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► Summary of the article (done by the Journal of Regulation & Compliance): We could be satisfied with examining the reception of the principles of general Procedural Law in compliance litigation and the distortion that compliance techniques justify in procedural mechanisms. But the innovation that constitutes this emerging branch of law that is Compliance Law justifies going to more fundamental.

From this perspective, the pertinent question is the very legitimacy of procedural principles in this branch of law, in that Procedural Law is built on the notion of “Litigation” while Compliance Law deals with situation so enormous, concerning for example the fate of the planet, that this notion of litigation appears inadequate, and consequently the procedural law would be too limited in compliance matters.

If, however, this perspective is maintained of Compliance Law facing, in an almost warlike perspective, the greatest current challenges, general Procedural Law needs to be redesigned, in its very definition. Indeed, compliance trials call into question the future of systems and it is as such that they hold the entities, for instance the enterprises, that are at the heart of these systems. It is in this that liability trials are more “accountability” trials, allowing the judge to demand actions for the future, trials by which commitments are made and the “intentions” of the persons involved are challenged and required.

________

♾️ follow Marie-Anne Frison-Roche on LinkedIn

♾️ subscribe to the Newsletter MAFR Regulation, Compliance, Law 

____

► Full Reference: M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, série "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, 490 p. 

____

► This book in few words: Sanctions, controls, appeals, deals: judges and lawyers are everywhere in the Compliance mechanisms, creating unprecedented situations, sometimes without a solution yet available.  Even though Compliance was designed to avoid the judge and produce security by avoiding conflict. This jurisdictionalisation is therefore new. Forcing companies to prosecute and judge, a constrained role, perhaps against their nature. Leading to the adaptation of major procedural principles, with difficulty. Confronting arbitration with new perspectives. Putting the judge at heart, in mechanisms designed so that he is not there. How in practice to organize these opposites and anticipate the solutions? This is the challenge taken up by this book.

____

📘 In parallel, the English version of this book, Compliance Jurisdictionalisation, is published in the series co-published by the Journal of Regulation & Compliance (JoRC) and Bruylant. 

____

📅  This book comes after a  cycle of colloquia organised in 2021 by the Journal of Regulation & Compliance (JoRC) and its Academic Partners.

____

This volume is the continuation of the books dedicated to Compliance in this collection.

► Read the presentations of the other books on Compliance in this collection:

• further books:

🕴️M.A. Frison-Roche (ed.), 📕Le système probatoire de la compliance, 2025

🕴️M.A. Frison-Roche (ed.), 📕L'obligation de compliance, 2024

🕴️M.A. Frison-Roche et M. Boissavy (ed.), 📕Compliance & droits de la défense. Enquête interne - CJIP - CRPC, 2023

• previous books :

🕴️Frison-Roche, M.-A. (ed.), 📕 Les buts monumentaux de la Compliance, 2022

🕴️Frison-Roche, M.-A. (ed.), 📕 Les outils de la Compliance, 2020

🕴️Frison-Roche, M.-A. (ed.), 📕 Pour une Europe de la Compliance, 2019

🕴️N. Borga, N., 🕴️J.-Cl. Marin & 🕴️J.-Ch. Roda (ed.), 📕 Compliance : Entreprise, Régulateur, Juge, 2018

🕴️Frison-Roche, M.-A. (ed.), 📕 Régulation, Supervision, Compliance, 2017

🕴️Frison-Roche, M.-A. (ed.), 📕 Internet, espace d'interrégulation, 2016

📕 Read the presentations of the other titles of the collection.

____

► General presentation of the book: There have always been Judges and Lawyers in Compliance Law, because this branch of Law is an extension of Regulatory Law in which they have a core place. This results from the fact that the decisions taken in respect of Compliance are contestable in Court, including Arbitration, those issued by the Company, such as those of States or Authorities, the Judge in turn becoming what Compliance Law is effective.

The novelty lies more in the phenomenon of "jurisdictionalisation", that is the trial model penetrates all Compliance Law, and not only the Ex-Post part that it includes. Moreover, it seems that this jurisdictionalisation influences the non-legal dimension of Compliance. This movement has effects that must be measured and causes that must be understood. Advantages and disadvantages that must be balanced. If only to form an opinion vis-à-vis Companies that have become Prosecutors and Judges of themselves and others ...: encourage this "Jurisdictionalisation of Compliance", fight it, perhaps influence it? In any case, understand it!

___

🏗️ General construction of this book:

The book begins by a double Introduction, the first (in free access) summarizing the book, the second, substantial, relating to the need to reinforce the Judge and the Lawyer to impose the Compliance Law as a characteristic of the Rule of Law. 

The first Part is devoted to what is specific to Compliance Law. of Compliance: the transformation of companies into Prosecutors and Judges of themselves, even of others.

The second Part relates to Compliance general procedural Law, the procedure being the way between the dispute and the judgement. 

The third Part continues this journey to the judge and aims to measure the influence of the reasoning and requirements of Compliance Law in dispute resolution methods where it was not, with some exceptions, present, but where it has a great future: Arbitration.

Because trial and judicial decision are inseparable, because legal techniques and the Rule of Law should not be divided but compliance techniques could paradoxically be the weapon of their dissociation, because the power to judge and the procedures surrounding the latter must not be dissociated, because therefore Compliance mechanisms and the Rule of Law must be thought out and practiced then, the rise in power of one must be the sign of the rise in power of the other, and not the price of the 'weakening of the Rule of Law, the fourth Part relates to the Judges in the Compliance mechanisms and culture. 

____

DOUBLE INTRODUCTION

🕴️M.-A. Frison-Roche, 📝Lignes de force de l'ouvrage La juridictionnalisation de la Compliance free access to the full text 

🕴️M.A. Frison-Roche, 📝Conforter le rôle du Juge et de l'Avocat pour imposer la Compliance comme caractéristique de l'État de Droit

I. L'ENTREPRISE INSTITUÉE PROCUREUR ET JUGE D'ELLE-MEME ET D'AUTRUI PAR LE DROIT DE LA COMPLIANCE ("THE COMPANY ESTABLISHED PROSECUTOR AND JUDGE OF ITSELF AND OTHERS BY COMPLIANCE LAW")

🕴️M.-A. Frison-Roche,📝 Le "jugeant-jugé". Articuler les mots et les choses face à l'éprouvant conflit d'intérêts 

🕴️C. Granier, 📝Réflexions sur l'existence d'une jurisprudence des entreprises

🕴️L.-M. Augagneur, 📝La juridictionnalisation de la réputation par les plateformes

🕴️A. Bruneau, 📝L'entreprise juge d'elle-même : la fonction compliance dans la banque

🕴️J.-M. Coulon, 📝Le Droit de la Compliance dans le secteur d'activité de la construction et les contradictions, impossibilités et impasses auxquelles les entreprises sont confrontées

🕴️Lapp, Ch., 📝La compliance dans l'entreprise : les statuts du process

🕴️J. Heymann, 📝La nature juridique de la "Cour suprême" de Facebook

🕴️D. Latour, 📝Les enquêtes internes au sein des entreprises

🕴️A. Bavitot,  📝Le façonnage de l'entreprise par les accords de justice pénale négociée

🕴️S. Merabet, 📝La vigilance, être juge et ne pas juger

II. LE DROIT PROCESSUEL À L'OEUVRE DANS LE DROIT DE LA COMPLIANCE  ("GENERAL PROCEDURAL LAW IN COMPLIANCE LAW")

🕴️N. Cayrol, 📝Des principes processuels en Droit de la Compliance

🕴️F. Ancel,📝Le principe processuel de compliance, un nouveau principe directeur du procès ?

🕴️B. Sillaman, 📝Secret professionnel et coopération : les leçons de procédure tirées de l’expérience américaine pour une application universelle

🕴️A. Linden, 📝Motivation et publicité des décisions de la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) dans une perspective de compliance

🕴️S. Scemla,🕴️D. Paillot, 📝La difficile appréhension des droits de la défense par les autorités de contrôle en matière de compliance

🕴️M.-A. Frison-Roche, 📝Ajuster par la nature des choses du Droit processuel au Droit de la Compliance

III. L'ARTICULATION DE LA COMPLIANCE ET DE L'ARBITRAGE INTERNATIONAL ("ARTICULATION BETWEEN COMPLIANCE LAW AND INTERNATIONAL ARBITRATION")

🕴️J.-B. Racine, 📝Compliance et Arbitrage. Essai de problématisation

🕴️E. Silva-Romero,🕴️R. Legru, 📝Quelle place pour la Compliance dans l'arbitrage d'investissement ?

🕴️C. Kessedjian, 📝L'arbitrage au service de la lutte contre la violation des droits de la personne humaine par les entreprises 

🕴️M. Audit, 📝La position de l'arbitre en matière de compliance

🕴️J. Jourdan-Marques, 📝L’arbitre, juge ex ante de la compliance ?

🕴️E. Kleiman, 📝Les objectifs de la compliance confrontés aux acteurs de l’arbitrage

🕴️F.-X. Train, 📝Arbitrage et procédure parallèles exercées au titre de la compliance

🕴️Cl. Debourg, 📝La compliance au stade du contrôle des sentences arbitrales

IV. LE JUGE DANS LE DROIT DE LA COMPLIANCE ("THE JUDGE IN COMPLIANCE LAW")

🕴️M.-A. Frison-Roche, 📝Le juge, l'obligation de compliance et l'entreprise. Le système probatoire de la Compliance

🕴️J. Morel-Maroger, 📝La réception des normes de la compliance par les juges de l'Union européenne

🕴️S. Schiller, 📝Un juge unique en cas de manquement international à des obligations de compliance ?

🕴️O. Douvreleur, 📝Compliance et juge du droit

🕴️F. Raynaud, 📝Le juge administratif et la compliance

🕴️E. Wennerström, 📝Quelques réflexions sur la Compliance et la Cour européenne des droits de l'Homme

________

► Full Reference: F. Raynaud, "Le juge administratif et la compliance" ("The Administrative Judge and the Compliance Law"), ​in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 473-478.

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► Summary of the article (done par the Journal of Regulation & Compliance): The author studies the close relationship between Compliance Law and Soft Law, such as the Administrative Judge has made room for it in his case law. This was particularly the case with the judgments of the Conseil d'État (French Council of State) in 2016, relating to legal topic of Regulatory Law, which is extended by Compliance Law.

This concern to internalize in companies what the public authorities want had also been taken into consideration by the Conseil d'État by small touches from 2010 and has continually expanded. This is particularly the case when the document issued is "de nature à produire des effets notables, notamment de nature économique, ou ont pour objet d'influer de manière significative sur les comportements des personnes auxquelles ils s'adressent" ("likely to produce significant effects, in particular of an economic nature, or are intended to significantly influence the behavior of the people to whom they are addressed"), which is related to compliance issues directly. This new concept adopted by the Conseil d'État has led it to review and control numerous "positions", "recommendations", "guidelines", etc., adopted by multiple authorities, to protect the persons on whom these acts have a "notable effect", the Conseil sometimes not hesitating to censor the issuing body. In Banking compliance, the Soft Law, more specifically issued by the European Banking Authority, gave the Administrative Judge the opportunity to adjust his control with that exercised by the Court of Justice seized by a preliminary question.

Thus, "Par sa jurisprudence sur la justiciabilité des actes de droit de souple, le Conseil d’Etat s’affirme donc comme un acteur de la compliance en permettant aux entités visées par ces actes et soumises à leur égard à une obligation de compliance de saisir le juge administratif d’un recours en annulation contre ces actes, afin qu’ils puissent être soumis à un contrôle de légalité et, le cas échéant, annulés" ("Through its case law on the justiciability of Soft Law acts, the Conseil d'État therefore asserts itself as a compliance actor by allowing the entities covered by these acts and subject to a compliance obligation in their regard to seize the administrative judge of an action for annulment against these acts, so that these acts can be subjected to a control of legality and, if necessary, annulled").

But must the administrative judge be seized. It can be the case in new fields, for example in climate matters, as he we in the Grande Synthe case. By its decision, "Le Conseil d’Etat va ainsi au bout de la logique du dispositif mis en place par le législateur et par le pouvoir réglementaire pour mettre en œuvre les accords de Paris, lesquels reposent sur une forme de compliance à l’échelle mondiale, chaque Etat signataire s’engageant, en quelque sorte, à faire le nécessaire pour atteindre un objectif commun à une date donnée, à charge pour chacun de s’organiser pour l’atteindre. En l’absence d’un juge international capable de vérifier le respect de ces engagements, le juge national apparait le plus naturel pour accepter de vérifier, lorsqu’il est saisi d’un litige en ce sens, que ces engagements ne restent pas lettre morte. " ("The Conseil d'État thus goes to the end of the logic of the system put in place by the legislator and by the administrative power to implement the Paris Agreements, which are based on a form of compliance at the worldwide scale, each signatory State undertaking, in a way, to do what is necessary to achieve a common goal by a given date, it being up to each to organize itself to achieve it. to verify compliance with these commitments, the national judge seems the most natural to accept to verify, when seized of a dispute in this sense, that these commitments do not remain a dead letter".).

Through this general movement,  "La compliance est devenue un nouveau mode de régulation d’un nombre croissant d’activités. " ("Compliance has become a new way of regulating a growing number of activities.").

________

► Full Reference: F.-X. Train, "Arbitrage et procédures parallèles exercées au titre de la compliance" ("Arbitration and parallel proceedings exercised in Compliance Procedure"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 355-368. 

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► The summary below describes the article that follows an intervention in the scientific manifestation Compliance et Arbitrage, co-organised by the Journal of Regulation & Compliance (JoRC) and the University Panthéon-Assas (Paris II). This conference was designed by Marie-Anne Frison-Roche and Jean-Baptiste Racine, scientific co-directors, and took place in Paris II University on March 31, 2021. 

In the book, the article will be published in the Chapter III, devoted to: Compliance et Arbitrage international.

____

► Summary of the article (done by the Journal of Regulation & Compliance): Firstly, the article insists on the principle of the autonomy of the international arbitration procedure, in relation to which parallel procedures remain watertight, whether they are criminal or done under Compliance Law. In the arbitral proceedings taking place independently, the arbitrators before whom the facts also referred to in these parallel proceedings, in particular the facts of corruption, are alleged before them as facts through their unlawful nature: it is at this title that they can and must apprehend them, using the standard of proof which is the bundle of clues.

Secondly, the article highlights the limits of the autonomy of international arbitration. These may be de facto limits because in the search for evidence by arbitrators, red flags are often insufficiently consistent evidence to establish a sentence, especially since this sentence may be subject to control by the judge of its conformity to international public order, the annulment by the judge being able to be based on external elements, even after the arbitration procedure. It may then be wise for the arbitrators, who are not forced to do so, to suspend their proceedings to wait the results of the parallel proceedings initiated under Compliance Law, so that the procedures and their results could be harmonious.

________

► Full Reference: Ch. Lapp, "La compliance dans l'entreprise : les statuts du process" ("Compliance in the company: the statues of processes"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p.141-150. 

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► The summary below describes an article following the colloquium L'entreprise instituée Juge et Procureur d'elle-même par le Droit de la Compliance (The Entreprise instituted Judge and Prosecutor of itself by Compliance Law) , co-organized by the Journal of Regulation & Compliance (JoRC) and the Faculté de Droit Lyon 3. This manifestation was designed under the scientific direction of Marie-Anne Frison-Roche and Jean-Christophe Roda and took place in Lyon on June 23, 2021. During this colloquium, the intervention was shared with Jan-Marc Coulon, who is also a contributor in the book (see the summary of the Jean-Marc Coulon's  Article).

In the book, the article will be published in Title I, devoted to:  L'entreprise instituée Juge et Procureur d'elle-même par le Droit de la Compliance (The Entreprise instituted Judge and Prosecutor of itself by Compliance Law ).

____

► Summary of the article (done by the author): The Company is caught in the grip of Compliance Law, the jaws of which are those of Incitement (1) and Sanction that the Company must apply to ensure the effectiveness of its processes to which it is itself subject (2 ).

First, the Company has been delegated to fabricate reprehensible rules that it must apply to itself and to third parties with whom it has dealings. To this end, the Company sets up "processes", that is to say verification and prevention procedures, in order to show that the offenses that it is likely to commit will not happened.

These processes constitute standards of behavior to prevent and avoid that the facts constituting the infringements are not themselves carried out. They are thus one of the elements of Civil Liability Law in its preventive or restorative purposes.

Second, the sanction of non obedience of Compliance processes puts the Company in front of two pitfalls. The first  dimension place the company, with regard to its employees and its partners, in the obligation to define processes which also constitute the quasi-jurisdictional resolution of their non-compliance, the company having to reconcile the sanction it pronounces with the fundamental principles of classical Criminal Law, constitutional principles and all fundamental rights. The processes then become the procedural rule.

The second dimension is that the Company is accountable for the effectiveness of the avoidance by its processes of facts constituting infringements. By a reversal of the burden of proof, the Company is then required to prove that its processes are efficient. at least equivalent to the measures defined by laws and regulations, the French Anti-Corruption Agency (Agence Française Anticorruption - AFA), European directives and various communications on legal tools to fight breaches of probity, environmental attacks and current societal concerns. The processes then become the constitutive element, per se, of the infringement.

Thus, in its search for a balance between Prevention and Sanction to which it is itself subject, the Company will not then be tempted to favor the orthodoxy of its processes over the expectations of the Agence Française Anticorruption - AFA , regulators and judges, to the detriment of their efficiency?

In doing so, are we not moving towards an instrumental and conformist Compliance, paradoxically disempowering with regard to the Compliance Monumental Goals of Compliance?

________

► Full Reference: E. Wennerström, "Quelques réflexions sur la Compliance et la Cour européenne des droits de l'homme" ("Some Reflections on Compliance and the European Court of Human Rights"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 479-489.

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► Summary of the article (done by the Journal of Regulation & Compliance): The development of the European Court of Human Rights case law, contributing to European integration, has incorporated the substantial concept of ​​"compliance" which goes beyond the idea of ​​legality with respect to which companies remain passive, and promotes legal orders as systems in interaction with another. 

The author develops the spirit and scope of Protocol 15 by which both the principle of subsidiarity and the margins of appreciation the signatory States are organized, mechanisms governed by the principle of proportionality. Subsidiarity means that the States are in the best position to design the most adequate application of the Convention, the close links between the States allowing its effective application. In addition, the new opinion procedure which allows a national court to have during a case the non-binding opinion of the ECHR ensures better compliance with the objectives of the Convention.

The case-law of the Court takes up this substantial requirement through its doctrine, in particular identified in the Bosphorus case, by stressing that the accession of a State to the European Union presumes its compliance when implementing EU law with the obligations arising from the ECHR, even if this presumption can be refuted if the protection is manifestly lacking, which was admitted in several cases, in particular concerning the right to an impartial tribunal in matters of economic regulation. The different legal orders are thus articulated. 

The author concludes that the European Court of Human Rights, like the Court of Justice of the Union, contributes to the construction of Compliance Law in Europe, from an Ex Ante perspective favoring opinions rather than Ex Post sanctions and creating, in particular through the Bosphorus doctrine, elements of security and confidence for European integration around common values.

________

► Full Reference: A. Linden, "Motivation et publicité des décisions de la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) dans une perspective de compliance" ("Motivation and publicity of the decisions of the restricted committee of the French Personal Data Protection Commission (Commission nationale de l'informatique et des libertés-CNIL) in a compliance perspective"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 235-239. 

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► Summary of the article (done by the Journal of Regulation and Compliance): In the event of a breach of the personal data protection rules, the restricted formation of the French personal data protection Commission (CNIL) pronounces fines, injunctions of "compliance" or calls to order. It can order the publication of these measures, which can be contested before the French High Administrative supreme court (Conseil d'État).

It is essential that these decisions be justified, not only in order to respect this principle of law but also concretely to obtain the public concerned, being very heterogeneous, understand them, the educational role of the CNIL also being applicable.

The principle of publicity is handled with nuance, the data controllers often requesting a closed door and, in fact, very few public attending the hearing. The publicity of decisions is in itself a sanction. The publication may moreover not be total or may only have a time, anonymization often allowing the balance between necessary pedagogy and preservation of interests, the CNIL taking great attention to the very modalities of publication, even if it cannot control the circulation and the media use which is then made of it.

_________

► Full Reference: L.-M. Augagneur, "La juridictionnalisation de la réputation par les plateformes" ("The jurisdictionalisation of reputation by platforms"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 97-113. 

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published.

____

► Summary of the article (done by the author): The large platforms are in the position of arbiter of the reputation economy (referencing, notoriety) in which they themselves act. Although the stakes are usually low on a unit basis, the jurisdiction of reputation represents significant aggregate stakes. Platforms are thus led to detect and assess reputation manipulations (by users: SEO, fake reviews, fake followers; or by the platforms themselves as highlighted by the Google Shopping decision issued by the European Commission in 2017) that are implemented on a large scale with algorithmic tools.

The identification and treatment of manipulations is itself only possible by means of artificial intelligence tools. Google thus proceeds with an automated downgrading mechanism for sites that do not follow its guidelines, with the possibility of requesting a review through a very summary procedure entirely conducted by an algorithm. Tripadvisor, on the other hand, uses an algorithm to detect false reviews based on "fraud modeling to identify electronic patterns that cannot be detected by the human eye". It only conducts a human investigation in limited cases.

This jurisdictionality of reputation has little in common with that defined by the jurisprudence of the Court of Justice (legal origin, contradictory procedure, independence, application of the Rules of Law). It is characterized, on the one hand, by the absence of transparency of the rules and even of the existence of rules stated in predicative form and applied by deductive reasoning. It is replaced by an inductive probabilistic model by the identification of abnormal behaviors in relation to centroids. This approach of course raises the issue of statistical bias. More fundamentally, it reflects a transition from Rule of Law, not so much to "Code is Law" (Laurence Lessig), but to "Data is Law", that is, to a governance of numbers (rather than "by" numbers). It also comes back to a form of collective jurisdictionality, since the sanction comes from a computational apprehension of the phenomena of the multitude and not from an individual appreciation. Finally, it appears particularly consubstantial with compliance, since it is based on a teleological approach (the search for a finality rather than the application of principles).

On the other hand, this jurisdictionality is characterized by man-machine cooperation, whether in the decision-making process (which poses the problem of automaticity bias) or in the contradictory procedure (which poses, in particular, the problems of discussion with the machine and the explicability of the machine response).

Until now, the supervision of these processes has been based essentially on the mechanisms of transparency, a limited adversarial requirement and the accessibility of appeal channels. The French Law Loi pour une République Numérique ("Law for a Digital Republic"), the European Legislation Platform-to-Business Regulation and the Omnibus Directive, have thus set requirements on the ranking criteria on platforms. The Omnibus Directive also requires that professionals guarantee that reviews come from consumers through reasonable and proportionate measures. As for the European Digital Services Act, it provides for transparency on content moderation rules, procedures and algorithms. But this transparency is often a sham. In the same way and for the moment the requirements of sufficient human intervention and adversarial processes appear very limited in the draft text.

The most efficient forms of this jurisdictionality ultimately emerge from the role played by third parties in a form of participatory dispute resolution. Thus, for example, FakeSpot detects false Tripadvisor reviews, Sistrix establishes a ranking index that helped establish the manipulation of Google's algorithm in the Google Shopping case by detecting artifacts based on algorithm changes. Moreover, the draft Digital Services Act envisages recognizing a specific status for trusted flaggers who identify illegal content on platforms.

This singular jurisdictional configuration (judge and party platform, massive situations, algorithmic systems for handling manipulations) thus leads us to reconsider the grammar of the jurisdictional process and its characteristics. If Law is a language (Alain Sériaux), it offers a new grammatical form that would be that of the middle way (mesotès) described by Benevéniste. Between the active and the passive way, there is a way in which the subject carries out an action in which he includes himself. Now, it is the very nature of this jurisdictionality of compliance to make laws by including oneself in them (nomos tithestai). In this respect, the irruption of artificial intelligence in this jurisdictional treatment undoubtedly bears witness to the renewal of the language of Law.

________

► Full reference: M.-A. Frison-Roche, co-organisation de la formation ENM Droit de la Compliance, co-organisé entre l'École nationale de la magistrature et le Journal of Regulation & Compliance (JoRC), les 2 et 3 février 2023. 

____

► General presentation of the course: The two-day session is designed for magistrates and practicing lawyers who are not necessarily specialized, to enable them, based on concrete cases, to understand the issues, objectives, and methods of compliance mechanisms in companies, including the increasing judicialization and the supranational dimension strengthen, modifying the office of the judge and the role of lawyers.

The analysis is made from the angle of Civil Law (contract, tort), Company Law, Labor Law and Criminal Law, but also governance, financial markets, regulatory, climate and digital issues.

____

► Brief bibliography: 

• M.-A. Frison-Roche (dir.), Compliance Jurisdictionalisation, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023.
• ​M.-A. Frison-Roche (dir.), Compliance Monumental Goals, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2022.
• M.-A. Frison-Roche (dir.), Compliance Tools, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2021.
• N. Borga, J.-Cl. Marin, J.-Ch. Roda (dir), Compliance : l'entreprise, le régulateur et le juge, coll. Régulations & Compliance, Journal of Regulation & Compliance (JoRC) and Dalloz, 2018.
• M.-A. Frison-Roche (dir.), Pour une Europe de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2019.
• M.-A. Frison-Roche (dir.), Régulation, Supervision, Compliance, coll. "Régulations", Journal of Regulation & Compliance (JoRC) and Dalloz, 2017.

____

► Will speak: 

🎤François Ancel, Judge at the Première chambre civile de la Cour de cassation ( First civil chamber of the Court of Cassation)

🎤Guillaume Beaussonie, Professor at Toulouse 1 Capitole University 

🎤Jean-François Bohnert, Procureur national financier 

🎤Gilles Briatta, Group General Secretary of the Groupe Société Générale 

🎤Marie-Anne Frison-Roche, Director of the Journal of Regulation & Compliance (JoRC)

🎤Cécile Granier, senior lecturer at Jean-Moulin Lyon 3 University 

🎤Jean-Michel Hayat, Premier Président honoraire de la Cour d'appel de Paris

🎤Christophe Ingrain, Avocat à la Cour 

🎤Anne-Valérie Le Fur, Professor at Versailles Saint-Quentin-en-Yvelines University 

🎤Stanislas Pottier, Senior Advisor to the General Management of Amundi

🎤Jean-Baptiste Racine, Professeur à l'Université Panthéon-Assas (Paris II)

🎤Juliette Thery, Membre du Collège de l'Arcom

____

Lire une présentation détaillée de la manifestation ci-dessous⤵️

► Full Reference: J. Morel-Maroger, "La réception des normes de la compliance par les juges de l'Union européenne" ("Application of compliance standards by EU judges"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 443-452. 

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► Summary of the article (done by the author): Compliance rules are intended to pursue objectives of public interest – or monumental goals – and thereby in principle modify and guide the behaviour of economic operators. In order to achieve these objectives, the full spectrum of norms are used in compliance matters. What is and what should be the role of the judges of the European Union in the development of compliance rules ? As in domestic law, the legality of compliance standards developed by regulatory authorities has been challenged.

It will first be necessary to analyse what control the judges of the European Union have over these rules. The question arises essentially as regards the rules of soft law, the challenge of which can be considered in two ways : by way of an action for annulment and by exception by way of a preliminary ruling.

But beyond the control of the legality of compliance rules exercised by European judges, they also contribute to their application. The effectiveness of compliance rules depend above all on them being followed by those to whom they are addressed, and economic operators are undoubtedly the first actors of its success. But the judges of the European Union, competent to settle disputes concerning the application of European Union law between the Member States, the European institutions, and individual applicants, may be also be involved in ensuring the effectiveness of European compliance rules and in interpreting them.

________

🌐♾️ follow Marie-Anne Frison-Roche sur LinkedIn

🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law 

____

► Full Reference: M.-A. Frison-Roche, "Le juge, l'obligation de compliance et l'entreprise. Le système probatoire de la Compliance" ("The judge, the compliance obligation, and the company. The Compliance probationary system"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p 409-442.

____

📝read the article (in French)

____

🚧read the bilingual Working Paper which is the basis of this article, with additional developments, technical references and hyperlinks 

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► Summary of the article (done by the Journal of Regulation & Compliance): the article aims to identify the link that must be established between the company in its relationship with the compliance obligations it assumes and the judges to whom it is accountable in this respect: this link is established by evidence. The evidentiary system of proof has yet to be constructed, and it is the purpose of this long study to lay the groundwork. 

To this end, the article begins with a description of what is designated here as the "probatory square" in a "probatory system" that is superimposed on the system of rules of substantive legal system. This is all the more important because Compliance seems to be in frontal collision in its very principles with the general principles of the evidentiary system, in particular because it seems that the company would have to prove the existence of the Law or that it would have to bear in a definitive way the burden of proving the absence of violation, which seems to be contrary not only to the presumption of innocence but also to the principle of the freedom of action and of undertaking. In order to re-articulate Compliance Law, the obligations of compliance which legitimately weigh on the company, it is necessary to return to the probatory system specific to Compliance, so that it remains within the Rule of Law. This presupposes the adoption of a substantial definition of Compliance, which is not only compliance with the rules, which is only a minimal dimension, but implies that Compliance Law should be defined by the Monumental Goals on which the public authorities and the companies are in substantial alliance.

The evidentiary system of principle makes play between its four summits that are the burden of proof, the objects of proof this evidentiary square of principle, between the burden of proof, the means of proof and their admissibility. Compliance Law does not fall outside this evidential square, thus marking its full membership of the Rule of Law

In order to lay the foundations of the evidential system specific to Compliance Law, the first part of the article identifies the objects of proof which are specific to it, by distinguishing between the structural devices, on the one hand, and the expected behaviours, on the other. The first involves proving that the structures required to achieve the Monumental Goals of Compliance have actually been put in place. The object of proof is then the effectiveness of this implementation, which presents the effectiveness of the system. As far as behavioral obligations are concerned, the object of proof is the efforts made by the company to obtain them, the principle of proportionality governing the establishment of this proof, while the systemic efficiency of the whole reinforces the evidential system. However, the wisdom of evidence lies in the fact that, even though the principle remains that of freedom of evidence, the company must establish the effectiveness, efficiency, and effectiveness of the whole, independently of the burden of proof.

The second part of the article concerns those who bear the burden of proof in Compliance Law. The latter places the burden of proof on the company in principle, in view of its legal obligations. This burden comes from the legal origin of the obligations, which blocks the "round of the burden of proof". But in the interference of the different vertices of the evidentiary square, the question becomes more delicate when it comes to determining the contours of the compliance obligations that the company must perform. Moreover, the burden of proof may itself be the subject of proof, just as the company's performance of its legal obligations may also be the subject of contracts, which brings us back to the evidentiary system ordinarily applicable to contractual obligations. The situation is different when it comes to a "compliance contract" or when it comes to one or more compliance stipulations, concepts that are still not very well developed in Contract Law. 

Furthermore, as all branches of Law belong to a legal system governed by the Rule of Law, other branches of law interfere and modify the methods and solutions of proof. This is the case when the fact, which is the object of proof, can give rise to a sanction, the Law of repression imposing its own solutions in the matter of the burden of proof. 

In the third part of the article, the relevant means of proof in Compliance Law are examined, used in that Compliance Law is above all a branch of Law whose object is on the one hand information and on the other hand the Future. Open questions remain, such as whether companies could be forced by the Judge to build technologies to invent new means of proof. To show that they are indeed achieving the Monumental Goals they are charged with. 

In the fourth part, the vital character of the pre-constitution of evidence is shown, which is the reflection of the Ex-Ante nature of Compliance Law: evidence must be pre-constituted to avoid the very prospect of having to use it, by finding all the means to establish the effectiveness, efficiency and even the effectiveness of the various Compliance Tools. 

If companies do all this methodically, the Compliance evidence system will be established, in harmony with the general evidence system, Compliance Law and the Rule of Law.

________

♾️ follow Marie-Anne Frison-Roche sur LinkedIn

♾️ subscribe to the Newsletter MAFR Regulation, Compliance, Law 

____

► Full Reference: M.-A. Frison-Roche, "Le jugeant-jugé. Articuler les mots et les choses face à l'éprouvant conflit d'intérêts" ("The Judge-Judged. Articulating words and things in the face of the testing conflict of interest"), in M.-A. Frison-Roche, (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 59-80. 

____

📝read the article (in French)

____

🚧read the bilingual Working Paper which is the basis of this article, with additional developments, technical references and hyperlinks

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► Summary of the article (done by the Journal of Regulation & Compliance): Since the topic of this article is part of a chapter devoted to the Company established as Prosecutor and Judge of itself by Compliance Law, chapter aiming to use the relevant qualifications, it is appropriate therefore to worry about the adjustment of words and things, of the way in which the relationship between ones and the others evolve, and of the more particular question of knowing if this evolution is radical or not when one speaks of "judge ".

because "judging" is a word that the Law has disputed with other disciplines, but that it has appropriated not so much to confer more powers on those who act in its name, for example that who supervise and punish, but on the contrary to impose limits, since to the one who judges it has put the chains of the procedure under foot, thus making bearable for the other the exercise of such a power. Therefore, those who want the power to judge would often want to not have the title, because having de jure the title of judge is being subject to the correlated regime, it is to be submitted to procedural correctness.

It is therefore to better limit that the Law sees who judges, for obliging this so-powerful character to the procedure. But the Law also has the power to appoint a judge and to fix the contours of all the characters in the trial. He usually does it with clarity, distinguishing the ones of the others, not confusing them. This art of distinction has constitutional value. Thus, not only the one who judges must be named "judge" but the procedural apparatus which goes with this character, and which constitutes a way of doing things and fundamental rights, are not "granted" by kindness or in a second step: it is a block. If you didn't want to have to endure procedural rights, you didn't have to want to be a judge. Admittedly, one could conclude that the procedure would therefore have become "substantial"; by this elevation, it is rather a fashion of saying that the procedure would no longer be a "servant": it is a kind of declaration of love for the procedure, as long as one affirms that at the acts of judging , or investigating, or prosecuting, are "naturally" attached the procedural rights for the one who is likely to be the object of these powers.

Compliance Law, in search of allies to achieve the Monumental Goals for the aims of which it was instituted, will require, or even demand, private companies to go and seek themselves, in particular through investigations. internal or active vigilance on others, for finding facts likely to be reproached to them. Compliance Law will also require that they prosecute those who have committed these acts. Compliance La will again demand that they sanction the acts that people have committed in their name.

This is clearly understood from the point of view of Ex Ante efficiency. The confusion of roles is often very efficient since it is synonymous with the accumulation of powers. For example, it is more efficient that the one who pursues is also the one who instructs and judges, since he knows the case so well... Besides, it is more efficient that he also elaborates the rules, so he knows better than anyone the "spirit" of the texts. This was often emphasized in Regulatory Law. When everything is Information and risk management, that would be necessary ... But all this is not obvious.

For two reasons, one external and the other internal.

Externally, the first reason is that it is not appropriate to "name" a judge who is not. This would be too easy, because it would then be enough to designate anyone, or even to do it oneself to appropriate the regime that goes with it, in particular for obtain a so-called legitimate power for obtaining that others obey even though they are not subordinate or from them they transmit information, even though they would be  competitors: it would then be necessary to remember that only the Law is able to appoint judge ; in this new Compliance era, companies would be judges, prosecutors, investigators!  Maybe, if the Law says it, but if it didn't, it would be necessary to come back to this tautology ... But are we in such a radicalism? Moreover, do judges have "the prerogative" of judgment and the Law has not admitted this power for companies to judge for a long time? As soon as the procedure is there in Ex Ante and the control of the judge in Ex Post?

The second reason, internal to the company, situation on which the article focuses, is that the company investigates itself, judges itself, sanctions itself. However, the legal person expressing its will only through its organs, we underline in practice the difficulties for the same human being to formulate grievances, as he/she is the agent of the legal person, addressed to the natural person that he/she himself/herself is. The two interests of the two are not the same, are often opposed; how the secrets of one can be kept with respect to the other, represented by the same individual? ... It is all the mystery, even the artifice of legal personality that appears and we understand better that Compliance Law no longer wants to use this strange classical notion. Because all the rules of procedure cannot mask that to prosecute oneself does not make more sense than to contract with oneself. This conflict of interest is impossible to resolve because naming the same individual X then naming him/her Y, by declaring open the dispute between them does not make sense.

This dualism, which is impossible to admit when it comes to playing these functions with regard to corporate officers, can come back to life by setting up third parties who will carry secrets and oppositions. For example, by the designation of two separate lawyers for the human being agent and the human being representative of the legal person, each lawyer being able to have secrets for each other and to oppose each other. These spaces of reconstitution of the so "natural" oppositions in procedure between the one who judges and the one who is judged can also take the technological form of platforms: where there is no longer anyone, where the process has replaced the procedure, there is no longer any human judgment. We can thus see that the fear of conflicts of interest is so strong that we resign ourselves to saying that only the machine would be "impartial", a derisory conception of impartiality, against which it is advisable to fight.

This then leads to a final question: can the company claim to exercise the jurisdictional power to prosecute and judge and investigate without even claiming to be a prosecutor, an investigating judge, or a court? The company's advantage would be to be able to escape the legal regime that classical Law attaches to its words, mainly the rights of the defense and the rights of action for others, the principle of publicity of justice for everyone, which expresses the link between procedure and democracy. When Facebook said on June 12, 2021 "react" to the decision of May 5, 2021, adopted by what would only be an Oversight Board to decide "as a consequence" of a 2-year suspension of Donald Trump's account, the art of qualifications seem to be used in order to avoid any regime constraint.

But this art of euphemism is very old. Thus, the States, when they wanted to increase repression, presented the transformation of the system as a softening of it through the "decriminalization" of Economic Law, transferred from the criminal courts to the independent administrative agencies. The efficiency was greatly increased, since the guarantees of the Criminal Procedure ceased to apply. But 20 years later, Words found their way back to Things: under Criminal Law, slept the "criminal matter", which requires the same "Impartiality". In 1996, a judge once affirmed it and everything was changed. Let us therefore wait for what the Courts will say, since they are the masters of qualifications, as Article 12 of the French Code of Civil Procedure says, as Motulsky wrote it in 1972. Law has time.

________

► Full Reference: F. Ancel, "Le principe processuel de compliance, un nouveau principe directeur du procès ?" (The procedural principle of compliance, a new trial leading principle?), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 225-230. 

____

📕read a general presentation of the book, La juridictionnalisation de la compliance, in which this article is published

____

► Summary of the article (done by the Journal of Regulation & Compliance): Through this article, the author formulates a proposal: elevating the principle of compliance to the rank of leading principle of the trial. To support this, the author firstly emphasizes the convergence of the aims of compliance and the purpose of the trial. Indeed, emphasizing that Compliance Law does not oust either the State or the judge, as soon as compliance means that the person must keep their commitments and that the trial is also based on this principle that the parties must conform to the principles and to their own "speech", compliance thus becomes a trial leading principle.

In a second part of the article, the author illustrates his point in a very concrete way. First, the protocols of procedure which are drawn up by the courts and the bars are commitments which should justify a form of constraint which, if it should not have the same form and nature as that of the law, must all the same even have consequences when a party fails to do so. Secondly, relying on French case law which sanctions a party which had accepted the principle of an arbitration and then systematically hinders its implementation, the author suggests that under the principle of compliance can be grouped the notions for the instant scattered of loyalty, consistency (estoppel) and efficiency.

Thus, this "open practice" echoing the "open way" of a procedural principle of compliance brings out this one.

________

► Full Reference: J. Heymann, "La nature juridique de la "Cour suprême" de Facebook" ("The legal nature of Facebook's "Supreme court""), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 151-167. 

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► The summary below describes an article following the colloquium L'entreprise instituée Juge et Procureur d'elle-même par le Droit de la Compliance , co-organized by the Journal of Regulation & Compliance (JoRC) and the Faculté de Droit Lyon 3. This manifestation was designed under the scientific direction of Marie-Anne Frison-Roche and Jean-Christophe Roda and took place in Lyon on June 23, 2021.

In the book, the article will be published in Title I, devoted to: The Entreprise instituted Judge and Prosecutor of itself by Compliance Law.

____

► Summary of the article (done by the author): Taking place in the general theme aiming at making “words and things coincide”, the article offers some thoughts on the “conditions of the discourse” – in the sense in which Foucault understood it in his Archéologie des sciences humaines – relating to the phenomenon of “jurisdictionalization” of Compliance.

            The thoughts are more specifically focusing on the nature of the so-called “Supreme Court” that Facebook instituted to hear appeals of decisions relating to content on the digital social networks that are Facebook and Instagram. Is this really a “Supreme Court”, designed in order to “judge” the Facebook Group?

            A careful examination of the Oversight Board – i.e. the so-called “Supreme Court” created by Facebook – reveals that the latter, in addition to its advisory mission (which consists of issuing policy advisory opinions on Facebook’s content policies), exercises some form of adjudicative function. This is essentially conceived in terms of compliance assessment, of the content published on the social networks Facebook or Instagram with the standards issued by these corporations on the one hand, of content enforcement decisions taken by Facebook with the Law on the other hand. The legal framework of reference is yet rather vague, although its substantial content seems to be per se evolutive, based on the geographical realm where the case to be reviewed is located. An adjudicative function can therefore be characterized, even if the Oversight Board can only claim for a limited one.

            The author can ultimately identify the Oversight Board as a preventive dispute settlement body, in the sense that it seems to aim at avoiding any referral to state courts and ruling before any court’s judgement can be delivered. Some questions are thus to be raised, relating with both legitimacy and authority of such a Board. But whatever the answers will be, the fact remains that the creation of the Oversight Board by a private law company already reveals all the liveliness of contemporary legal pluralism.

________

► Full Reference: S. Schiller, "Un juge unique en cas de manquement international à des obligations de compliance ?" ("A single judge in the event of an international breach of compliance obligations?"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 453-464. 

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► Summary of the article (done by the author, translated by the Journal of Regulation & Compliance): Given the very international nature of the topic apprehended, the actors involved and therefore the compliance disputes, it is essential to know if a person can be implicated before several judges, attached to different states or even if he can be condemned by several jurisdictions. The answer is given by the non bis in idem principle, which is the subject of a abondant case law on the basis of Article 4 of Protocol n°7 of the ECHR, clearly inapplicable for jurisdictions emanating from different States.

To assess whether breaches of compliance obligations may be subject to multiple sanctions in different states, it will first be necessary to ascertain whether there is a textual basis to be invoked.

At European level, Article 50 of the Charter of Fundamental Rights now allows the principle of ne bis in idem to be invoked. Applicable to all areas of compliance, it provides very strong protection which covers not only sanctions, but also prosecutions. Like its effects, the scope of Article 50 is very broad. The procedures concerned are those which have a repressive nature, beyond those pronounced by criminal courts in the strict sense, which makes it possible to cover the convictions pronounced by one of the many regulatory authorities competent in matters of compliance.

Internationally, the situation is less clear. Article 14-7 of the International Covenant on Civil and Political Rights may be invoked, if several obstacles are overcome, including the decision of 2 November 1987 of the Human Rights Committee which restricted it to the internal framework, requiring a double conviction by the same State.

Even if these principles are applicable, two specificities of compliance situations risk hampering their application, the first related to the applicable procedural rules, in particular the rules of jurisdiction, the second related to the specificities of the situation.

The application of the non bis in idem rule is only formally accepted with regard to universal jurisdiction and personal jurisdiction, that is to say extraterritorial jurisdiction, which is only part of the jurisdiction. . The Cour de cassation (French Judiciary Supreme Court) confirmed this in the famous so-called “Oil for food” judgment of March 14, 2018. The refusal to recognize this principle as universal, regardless of the jurisdiction rule in question, deprives French companies of a defense. Moreover, the repression of breaches of compliance rules is more and more often resolved through transactional mechanisms. The latter will not always fall within the scope of European and international rules laying down the non bis in idem principle, for lack of being sometimes qualified as "final judgment" under the terms of Article 50 of the Charter of Fundamental Rights of the European Union and Article 14-7 of the International Covenant on Civil and Political Rights.

Breaches in terms of compliance are often based on multiple acts. This results from prescriptions the starting point of which is delayed at the last event and a facilitated jurisdiction for French courts when only one of the constitutive facts is found in France. In terms of compliance, the non bis in idem principle therefore generally does not protect companies and does not prevent them from being sued before the courts of two different countries for the same case. It nevertheless grants them another protection by obliging them to take into account foreign decisions in determining the amount of the penalty. The sanction against Airbus SE in the Judicial Convention of Public Interest (CJIP) of January 29, 2020 is a perfect illustration of this.

Breaches in terms of compliance are often based on multiple acts. This causes delays in the starting point of prescriptions, starting point delayed at the last event, and this facilitates judicial jurisdiction for French courts when only one of the constitutive facts is found in France. In terms of compliance, the non bis in idem principle therefore generally does not protect companies and does not prevent them from being sued before the courts of two different countries for the same case. It nevertheless grants them another protection by obliging them to take into account foreign decisions in determining the amount of the penalty. The sanction against Airbus SE in the Convention judiciaire d'intérêt public -CJIP (French Judicial Convention of Public Interest)  of January 29, 2020 is a perfect illustration of this.

________

► Full Reference: A. Bruneau, "L'entreprise juge d'elle-même : la fonction compliance dans la banque" ("The company judge of itself: the compliance function inside the bank"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 115-131. 

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► Summary of the article (done by the author): First of all, it should be remembered that the compliance function was born within finance, and that by being structured, it has evolved to support the transition from regulatory law to compliance law. Through these changes, compliance has gone from an ex-post controlling function to an ex-ante binding function. The LIBOR crisis imperfectly illustrates the primacy of this transition. The evolution of this role is illustrated by concrete examples

Firstly, the management of reputational risk is a fundamental part of the company as prosecutor and judge of itself. Reputational risk is a significant element for a financial institution, because it can have negative consequences on its capitalization, or even culminate in a systemic crisis. Avoiding a large-scale financial crisis is also part of the monumental goals of compliance.

In order to avoid complex and inopportune scenarios, compliance law intervenes as early as possible and identifies issues that may impact reputation. The regulations require the implementation of certain ex ante mechanisms. The French law known as "Sapin 2" requires the implementation of tools that concern all companies (and not just banks). Indeed, beyond the risk of reputation, it is essential to consider the risk of corruption. Consideration of reputational risk may justify refusing to execute certain transactions. From this perspective, compliance must assess the potential consequences of entering into a relationship with a new client upstream, sometimes to decline the provision of services. The compliance function therefore unilaterally judges the relationship with a view to managing the company reputational risk.

Secondly, the internal sanction mechanism established by compliance law is also discussed in this article, in particular the internal sanctions adopted by compliance in a financial institution.

Compliance can act as a prosecutor via management committees set up within the business lines. In addition, compliance can determine and apply sanctions against employees. In this way, there is a dual role of prosecutor and judge for the compliance function within the framework of an extraordinary mechanism of ordinary law.

Finally, the analysis deals with the case of the "judge-judged": following a decision by the bank, the regulator may take an even stricter position by believing that the bank is applying its guidelines incorrectly. Thus, the compliance law, which takes hold within the banking enterprise, finds itself under the judgment of its own regulator. The company finds itself judged and comes to be a prosecutor and judge of itself, but also of its clients.

__________

► Full Reference: A. Bavitot, "Le façonnage de l'entreprise par les accords de justice pénale négociée" ("Shaping the company through negotiated Criminal Justice Agreements"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 187-198.  

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► Summary of the article (done by the author): Negotiated justice is "the situation in which the criminal conflict is the object of a trade in the etymological sense of the term negotio, i.e. a debate between the parties to reach an agreement".

Thus, the French legislator has succumbed to globalized mimicry by creating the Convention judiciaire d'intérêt public (Public Interest Judicial Agreement), first in matters of probity and then in environmental matters. What is the nature of this deal of justice? Validated by a judge's order, it does not entail any declaration of guilt, has neither the nature nor the effects of a judgment of conviction and is not registered in the judicial record. Possible at the investigation stage as well as at the pre-trial stage, the Public Interest Judicial Agreement is original in that it makes it possible to avoid either the prosecutor's proceedings or the judge's wrath.

A detailed study of the agreements signed shows that in order to negotiate in the best possible way, the company can and must shape itself. The company will shape the facts of its agreement, shape its charge and, finally, shape its sentence. The article offers a concrete analysis of these three dimensions of corporate shaping to better approach understanding the legal nature of negotiated criminal justice agreements.

________

► Full Reference: S. Scemla and D. Paillot, "La difficile appréhension des droits de la défense par les autorités de contrôle en matière de compliance" ("The supervisory authorities face difficulties to apprehend the rights of the defence in Compliance matters"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 241-249.

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► Summary of the article (done by the authors): Since 2016, French companies subject to the provisions of the so-called “Sapin 2” Law must implement eight stringent anti-corruption measures, such as a risk mapping, a whistleblowing procedure or a third-party due diligence procedure.

To ensure their compliance with these obligations, the Sapin 2 law created the Agence française anticorruption - AFA (French Anti-Corruption Agency), which had been assigned three missions: firstly, to help any person prevent and detect corruption; secondly, to control the quality and effectiveness of the anti-corruption programs deployed by the companies; and thirdly, to sanction any breaches, through its Sanctions Committee.

As pointed out by the French Conseil d’Etat, the powers devolved to the administrations have multiplied and became stratified. While the Conseil d'Etat suggests to improve both the conduct and the effectiveness of administrative controls by harmonising their practices and simplifying their prerogatives, it is urgent to remedy the numerous procedural failures that undermine the rights of defence.

In fact, the AFA exercises various powers when undertaking its controls. Some of these powers are not provided for by the Law, and most of them infringe fundamental rights and freedoms among which the adversarial principle and the freedom not to self-incriminate. For instance, the AFA does not necessarily draft minutes of the interviews it conducts, thus depriving the interviewee of the possibility to challenge the statements reported by the AFA to the Sanctions Committee.

From a more structural point of view, the scope of the AFA's mission is extremely broad. The Law allows the AFA to request the communication of "any professional document or any useful information", without defining the notion of usefulness. Also, the AFA considers that the entity cannot benefit from the legal privilege that would cover their documents, and considers that an entity who voluntarily hands over a document, without expressing any reserves, waives its right to the benefit of its legal privilege.

Apart from the severe consequences that could arise if another proceedings was to be initiated by a foreign authority, the concept of "voluntary handover" does not faithfully reflect the reality. Indeed, the controlled entities only cooperate under the threat of being prosecuted on the basis of an obstruction to the control, which compels them to communicate documents even when facing the risk of contributing to their own incrimination.

These many procedural deficiencies encountered during AFA controls must therefore be reformed, as recommended by the Conseil d’Etat, so as to require the authorities to take into account the rights of the defence.

________

► Full Reference: J.-B. Racine, "Compliance et Arbitrage. Essai de problématisation" ("Compliance and Arbitration : Problematisation", in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 265-279. 

____

📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published

____

► The summary below describes an article that follows an intervention in the scientific manifestation Compliance et Arbitrage, co-organised by the Journal of Regulation & Compliance (JoRC) and the University Panthéon-Assas (Paris II). This conference was designed by Marie-Anne Frison-Roche and Jean-Baptiste Racine, scientific co-directors, and took place in Paris II University on March 31, 2021. 

In the book, the article will be published in Title II, devoted to: Compliance et Arbitrage.

____

► Summary of the article (done by the author): Under the consideration of the "Compliance Juridictionalisation", it is necessary to study in the links between Compliance and Arbitration. The arbitrator is a judge, he is even the natural judge of international trade. Arbitration is therefore naturally intended to meet compliance which transforms the action of companies in an international context. However, the links between compliance and arbitration are not obvious. It is not a question of providing firm and definitive answers, but rather, and above all, of asking questions. We are at the start of reflection on this topic, which explains why there is, for the time being, little legal literature on the subject of the relationship between Compliance and Arbitration. It doesn't mean there aren't connections.  Quite simply, these relations may not have come to light, or they are in the making. We should research  the existing or potential bridges between two worlds that have long gravitated separately: Compliance on the one hand, Arbitration on the other. The central question is: is or can the arbitrator be a compliance judge, and, if so, how?

In any event, the Arbitrator is thus in contact with matters requiring the methods, tools and logic of Compliance. In addition to the prevention and suppression of corruption, three examples can be given.

• Arbitration has been facing economic sanctions (notably embargoes) for several years. The link with Compliance is obvious, insofar as texts providing for economic sanctions are often accompanied by compliance mechanisms, as in the United States. The arbitrator is concerned as to the fate he reserves in the treatment of the dispute with the measures of economic sanctions.
• Competition Law is a branch that came into contact with Arbitration from the end of the 1980s. The arbitrability of this type of dispute is now established and arbitrators apply it regularly. At the same time, Compliance has also entered Competition Law, admittedly more strongly in the United States than in France. The existence, absence or insufficiency of a compliance program aimed at preventing violations of the competition rules are thus circumstances which may assist the arbitrator in the assessment of anti-competitive behavior.
• Environmental Law is also concerned. There is environmental Compliance, for example with regard to the French law of March 27, 2017 on the duty of vigilance. Companies are thus responsible for participating in the protection of the environment, by internalizing these concerns in their internal and external operations (in their sphere of influence). As soon as an arbitrator is in charge for settling a dispute relating to Environmental Law, the question of the relationship to Compliance, from this angle, naturally arises.

It is therefore the multiple interactions between Compliance and Arbitration, actual or potential, which are thus open.

________

Référence complète : CJUE, 1ière ch.,  12 janv. 2023, RW  c.  Österreichische Post AG, C-154/21.

____

Lire l'arrêt.

_____

Fiche de l'arrêt : Dans un contentieux entre un particulier et une entreprise postale (RW c. Österreichische Post AG, la Cour suprême de l'Autriche a décidé le 18 février 2021 de saisir la CJUE d'une question préjudicielle sur le sens à donner au "droit d'accès de la personne concernée à ses données" (article 15 RGPD) : jusqu'où doivent aller les informations à lui communiquer sur les destinataires ou catégories de destinataires auxquelles ces informations sont communiquées par celui qui recueille ces informations.

considérant les observations présentées :

–        pour RW, par Me R. Haupt, Rechtsanwalt,

–        pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,

–        pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,

–        pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,

–        pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,

–        pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,

–        pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,

–        pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,

–        pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).

2        Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.

 Le cadre juridique

3        Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :

« (4)      [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]

[...]

(9)      Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.

(10)      Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]

[...]

(39)      Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]

[...]

(63)      Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]

[...]

(74)      Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »

4        L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

5        L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :

« 1.      Les données à caractère personnel doivent être :

a)      traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

[...]

2.      Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

6        L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :

« 1.      Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

2.      Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.

[...]

5.      Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :

a)      exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou

b)      refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

[...] »

7        L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :

« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

[...]

e)      les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]

[...] »

8        L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :

« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

[...]

e)      le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;

[...] »

9        Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :

« 1.      La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :

a)      les finalités du traitement ;

b)      les catégories de données à caractère personnel concernées ;

c)      les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;

d)      lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

e)      l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;

f)      le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

g)      lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;

h)      l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

2.      Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.

3.      Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

4.      Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »

10      L’article 16 du RGPD, intitulé « Droit de rectification », dispose :

« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »

11      Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :

« 1.      La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

a)      les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;

b)      la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;

c)      la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;

d)      les données à caractère personnel ont fait l’objet d’un traitement illicite ;

e)      les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;

f)      les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

2.      Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

[...] »

12      L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :

« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :

a)      l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;

b)      le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;

c)      le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;

d)      la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

[...] »

13      L’article 19 du RGPD est ainsi libellé :

« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »

14      Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :

« 1.      La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

2.      Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.

3.      Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.

4.      Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.

5.      Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.

6.      Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »

15      L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

16      L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :

« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

 Le litige au principal et la question préjudicielle

17      Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.

18      En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.

19      RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.

20      Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.

21      Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.

22      RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.

23      Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.

24      Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.

25      En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.

26      Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.

27      Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »

 Sur la question préjudicielle

28      Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.

29      À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).

30      S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.

31      À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.

32      Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.

33      Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.

34      En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).

35      Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.

36      En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.

37      En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).

38      En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).

39      Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.

40      Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

41      Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.

42      Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.

43      Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.

44      Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).

45      Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.

46      Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.

47      Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).

48      Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.

49      En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.

50      En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.

51      Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

 Sur les dépens

52      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (première chambre) dit pour droit :

L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

Signatures

*      Langue de procédure : l’allemand.

ARRÊT DE LA COUR (première chambre)

12 janvier 2023 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 15, paragraphe 1, sous c) – Droit d’accès de la personne concernée à ses données – Informations sur les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées – Limitations »

Dans l’affaire C‑154/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Oberster Gerichtshof (Cour suprême, Autriche), par décision du 18 février 2021, parvenue à la Cour le 9 mars 2021, dans la procédure

RW

contre

Österreichische Post AG,

LA COUR (première chambre),

composée de M. A. Arabadjiev, président de chambre, M. L. Bay Larsen, vice‑président de la Cour, faisant fonction de juge de la première chambre, MM. P. G. Xuereb, A. Kumin et Mme I. Ziemele (rapporteure), juges,

avocat général : M. G. Pitruzzella,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

–        pour RW, par Me R. Haupt, Rechtsanwalt,

–        pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,

–        pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,

–        pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,

–        pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,

–        pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,

–        pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,

–        pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,

–        pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).

2        Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.

 Le cadre juridique

3        Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :

« (4)      [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]

[...]

(9)      Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.

(10)      Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]

[...]

(39)      Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]

[...]

(63)      Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]

[...]

(74)      Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »

4        L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

5        L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :

« 1.      Les données à caractère personnel doivent être :

a)      traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

[...]

2.      Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

6        L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :

« 1.      Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

2.      Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.

[...]

5.      Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :

a)      exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou

b)      refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

[...] »

7        L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :

« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

[...]

e)      les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]

[...] »

8        L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :

« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

[...]

e)      le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;

[...] »

9        Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :

« 1.      La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :

a)      les finalités du traitement ;

b)      les catégories de données à caractère personnel concernées ;

c)      les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;

d)      lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

e)      l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;

f)      le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

g)      lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;

h)      l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

2.      Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.

3.      Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

4.      Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »

10      L’article 16 du RGPD, intitulé « Droit de rectification », dispose :

« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »

11      Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :

« 1.      La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

a)      les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;

b)      la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;

c)      la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;

d)      les données à caractère personnel ont fait l’objet d’un traitement illicite ;

e)      les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;

f)      les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

2.      Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

[...] »

12      L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :

« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :

a)      l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;

b)      le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;

c)      le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;

d)      la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

[...] »

13      L’article 19 du RGPD est ainsi libellé :

« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »

14      Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :

« 1.      La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

2.      Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.

3.      Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.

4.      Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.

5.      Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.

6.      Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »

15      L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

16      L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :

« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

 Le litige au principal et la question préjudicielle

17      Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.

18      En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.

19      RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.

20      Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.

21      Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.

22      RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.

23      Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.

24      Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.

25      En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.

26      Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.

27      Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »

 Sur la question préjudicielle

28      Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.

29      À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).

30      S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.

31      À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.

32      Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.

33      Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.

34      En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).

35      Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.

36      En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.

37      En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).

38      En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).

39      Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.

40      Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

41      Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.

42      Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.

43      Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.

44      Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).

45      Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.

46      Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.

47      Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).

48      Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.

49      En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.

50      En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.

51      Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

 Sur les dépens

52      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (première chambre) dit pour droit :

L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

Signatures

*      Langue de procédure : l’allemand.

► Référence complète : J. Harrison, "Trade Agreement and Sustainability: Exploring the Potential of Global Value Chain (GVC) Obligations", Journal of International Economic Law,  2023

____

► Résumé de l'article (fait par l'auteur ) : Après 

____

🦉Les étudiants de Marie-Anne Frison-Roche peuvent avoir accès au texte intégral

________