Updated: Feb. 2, 2023 (Initial publication: March 31, 2021)
Thesaurus : Doctrine
► Full Reference: M. Audit, "La position de l'arbitre en matière de compliance" ("The position of the arbitrator in matters of compliance"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 303-315.
____
📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published
____
► The summary below describes an article that follows an intervention in the scientific manifestation Compliance et Arbitrage, co-organised by the Journal of Regulation & Compliance (JoRC) and the University Panthéon-Assas (Paris II). This conference was designed by Marie-Anne Frison-Roche and Jean-Baptiste Racine, scientific co-directors, and took place in Paris II University on March 31, 2021.
In the book, the article will be published in its Title III, devoted to: Compliance et Arbitrage.
____
► Summary of the article (done by the Journal of Regulation & Compliance): For the arbitrator to intervene in matters of Compliance, a "Compliance Obligation" must exist. The identification of this specific obligation is tricky because it cannot generally be identified per se, if it is grasped only through Criminal Law, which does not enter directly into the field of Arbitration, which has developed an autonomous conception of the facts, in particular facts of corruption, which are also criminally reproachable. But because the obligation of compliance is itself autonomous, since it is a question of detecting and preventing various offenses and breaches, the arbitrators rely on the detection and prevention mechanisms as such, distinct from the possible behaviors that the Law wants they don't happen.
But the question of the source of this compliance obligation is central because it must arise from a standard that can lead to Arbitration. This is the case of the contract, for example an intermediary contract which not only prohibits any corrupt practice but also provides for audit or control, or even the case of national laws, in particular the UK Bribery Act or the so-called French "Sapin 2" law, or even decisions imposing compliance programs or the unconstrained adoption of these by the company. According to its source, the arbitrator will take the Compliance obligation into account.
If a Compliance obligation, having a source giving its significance in an Arbitration proceeding, is considered by the arbitrator to be breached, the consequences often depend on this source. The solution is classic if it is the lex contractus, more difficult if it is a Law which has inserted this obligation in the lex societatis, the requirements of compliance being generally considered as mandatory laws. If the arbitrators cannot apply the sanctions attached by the repressive law, they can support their decision in consideration of the breach found to assess the legality of a behavior or the validity of a contract, the ICC Rules for combating corruption being able to serve them as an analysis guide.
________
Feb. 2, 2023
Thesaurus : Doctrine
► Full Reference: N. Cayrol, "Des principes processuels en droit de la compliance" ("General Procedural Law in Compliance Law"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 213-224.
____
📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published
____
► Summary of the article (done by the Journal of Regulation & Compliance): We could be satisfied with examining the reception of the principles of general Procedural Law in compliance litigation and the distortion that compliance techniques justify in procedural mechanisms. But the innovation that constitutes this emerging branch of law that is Compliance Law justifies going to more fundamental.
From this perspective, the pertinent question is the very legitimacy of procedural principles in this branch of law, in that Procedural Law is built on the notion of “Litigation” while Compliance Law deals with situation so enormous, concerning for example the fate of the planet, that this notion of litigation appears inadequate, and consequently the procedural law would be too limited in compliance matters.
If, however, this perspective is maintained of Compliance Law facing, in an almost warlike perspective, the greatest current challenges, general Procedural Law needs to be redesigned, in its very definition. Indeed, compliance trials call into question the future of systems and it is as such that they hold the entities, for instance the enterprises, that are at the heart of these systems. It is in this that liability trials are more “accountability” trials, allowing the judge to demand actions for the future, trials by which commitments are made and the “intentions” of the persons involved are challenged and required.
________
Feb. 2, 2023
Publications
🌐♾️ follow Marie-Anne Frison-Roche sur LinkedIn
🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law
____
► Full Reference: M.-A. Frison-Roche, "Le juge, l'obligation de compliance et l'entreprise. Le système probatoire de la Compliance" ("The judge, the compliance obligation, and the company. The Compliance probationary system"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p 409-442.
____
📝read the article (in French)
____
🚧read the bilingual Working Paper which is the basis of this article, with additional developments, technical references and hyperlinks
____
📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published
____
► Summary of the article (done by the Journal of Regulation & Compliance): the article aims to identify the link that must be established between the company in its relationship with the compliance obligations it assumes and the judges to whom it is accountable in this respect: this link is established by evidence. The evidentiary system of proof has yet to be constructed, and it is the purpose of this long study to lay the groundwork.
To this end, the article begins with a description of what is designated here as the "probatory square" in a "probatory system" that is superimposed on the system of rules of substantive legal system. This is all the more important because Compliance seems to be in frontal collision in its very principles with the general principles of the evidentiary system, in particular because it seems that the company would have to prove the existence of the Law or that it would have to bear in a definitive way the burden of proving the absence of violation, which seems to be contrary not only to the presumption of innocence but also to the principle of the freedom of action and of undertaking. In order to re-articulate Compliance Law, the obligations of compliance which legitimately weigh on the company, it is necessary to return to the probatory system specific to Compliance, so that it remains within the Rule of Law. This presupposes the adoption of a substantial definition of Compliance, which is not only compliance with the rules, which is only a minimal dimension, but implies that Compliance Law should be defined by the Monumental Goals on which the public authorities and the companies are in substantial alliance.
The evidentiary system of principle makes play between its four summits that are the burden of proof, the objects of proof this evidentiary square of principle, between the burden of proof, the means of proof and their admissibility. Compliance Law does not fall outside this evidential square, thus marking its full membership of the Rule of Law
In order to lay the foundations of the evidential system specific to Compliance Law, the first part of the article identifies the objects of proof which are specific to it, by distinguishing between the structural devices, on the one hand, and the expected behaviours, on the other. The first involves proving that the structures required to achieve the Monumental Goals of Compliance have actually been put in place. The object of proof is then the effectiveness of this implementation, which presents the effectiveness of the system. As far as behavioral obligations are concerned, the object of proof is the efforts made by the company to obtain them, the principle of proportionality governing the establishment of this proof, while the systemic efficiency of the whole reinforces the evidential system. However, the wisdom of evidence lies in the fact that, even though the principle remains that of freedom of evidence, the company must establish the effectiveness, efficiency, and effectiveness of the whole, independently of the burden of proof.
The second part of the article concerns those who bear the burden of proof in Compliance Law. The latter places the burden of proof on the company in principle, in view of its legal obligations. This burden comes from the legal origin of the obligations, which blocks the "round of the burden of proof". But in the interference of the different vertices of the evidentiary square, the question becomes more delicate when it comes to determining the contours of the compliance obligations that the company must perform. Moreover, the burden of proof may itself be the subject of proof, just as the company's performance of its legal obligations may also be the subject of contracts, which brings us back to the evidentiary system ordinarily applicable to contractual obligations. The situation is different when it comes to a "compliance contract" or when it comes to one or more compliance stipulations, concepts that are still not very well developed in Contract Law.
Furthermore, as all branches of Law belong to a legal system governed by the Rule of Law, other branches of law interfere and modify the methods and solutions of proof. This is the case when the fact, which is the object of proof, can give rise to a sanction, the Law of repression imposing its own solutions in the matter of the burden of proof.
In the third part of the article, the relevant means of proof in Compliance Law are examined, used in that Compliance Law is above all a branch of Law whose object is on the one hand information and on the other hand the Future. Open questions remain, such as whether companies could be forced by the Judge to build technologies to invent new means of proof. To show that they are indeed achieving the Monumental Goals they are charged with.
In the fourth part, the vital character of the pre-constitution of evidence is shown, which is the reflection of the Ex-Ante nature of Compliance Law: evidence must be pre-constituted to avoid the very prospect of having to use it, by finding all the means to establish the effectiveness, efficiency and even the effectiveness of the various Compliance Tools.
If companies do all this methodically, the Compliance evidence system will be established, in harmony with the general evidence system, Compliance Law and the Rule of Law.
________
Feb. 2, 2023
Publications
♾️ follow Marie-Anne Frison-Roche sur LinkedIn
♾️ subscribe to the Newsletter MAFR Regulation, Compliance, Law
____
► Full Reference: M.-A. Frison-Roche, "Le jugeant-jugé. Articuler les mots et les choses face à l'éprouvant conflit d'intérêts" ("The Judge-Judged. Articulating words and things in the face of the testing conflict of interest"), in M.-A. Frison-Roche, (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 59-80.
____
📝read the article (in French)
____
🚧read the bilingual Working Paper which is the basis of this article, with additional developments, technical references and hyperlinks
____
📕read a general presentation of the book, La juridictionnalisation de la Compliance, in which this article is published
____
► Summary of the article (done by the Journal of Regulation & Compliance): Since the topic of this article is part of a chapter devoted to the Company established as Prosecutor and Judge of itself by Compliance Law, chapter aiming to use the relevant qualifications, it is appropriate therefore to worry about the adjustment of words and things, of the way in which the relationship between ones and the others evolve, and of the more particular question of knowing if this evolution is radical or not when one speaks of "judge ".
because "judging" is a word that the Law has disputed with other disciplines, but that it has appropriated not so much to confer more powers on those who act in its name, for example that who supervise and punish, but on the contrary to impose limits, since to the one who judges it has put the chains of the procedure under foot, thus making bearable for the other the exercise of such a power. Therefore, those who want the power to judge would often want to not have the title, because having de jure the title of judge is being subject to the correlated regime, it is to be submitted to procedural correctness.
It is therefore to better limit that the Law sees who judges, for obliging this so-powerful character to the procedure. But the Law also has the power to appoint a judge and to fix the contours of all the characters in the trial. He usually does it with clarity, distinguishing the ones of the others, not confusing them. This art of distinction has constitutional value. Thus, not only the one who judges must be named "judge" but the procedural apparatus which goes with this character, and which constitutes a way of doing things and fundamental rights, are not "granted" by kindness or in a second step: it is a block. If you didn't want to have to endure procedural rights, you didn't have to want to be a judge. Admittedly, one could conclude that the procedure would therefore have become "substantial"; by this elevation, it is rather a fashion of saying that the procedure would no longer be a "servant": it is a kind of declaration of love for the procedure, as long as one affirms that at the acts of judging , or investigating, or prosecuting, are "naturally" attached the procedural rights for the one who is likely to be the object of these powers.
Compliance Law, in search of allies to achieve the Monumental Goals for the aims of which it was instituted, will require, or even demand, private companies to go and seek themselves, in particular through investigations. internal or active vigilance on others, for finding facts likely to be reproached to them. Compliance Law will also require that they prosecute those who have committed these acts. Compliance La will again demand that they sanction the acts that people have committed in their name.
This is clearly understood from the point of view of Ex Ante efficiency. The confusion of roles is often very efficient since it is synonymous with the accumulation of powers. For example, it is more efficient that the one who pursues is also the one who instructs and judges, since he knows the case so well... Besides, it is more efficient that he also elaborates the rules, so he knows better than anyone the "spirit" of the texts. This was often emphasized in Regulatory Law. When everything is Information and risk management, that would be necessary ... But all this is not obvious.
For two reasons, one external and the other internal.
Externally, the first reason is that it is not appropriate to "name" a judge who is not. This would be too easy, because it would then be enough to designate anyone, or even to do it oneself to appropriate the regime that goes with it, in particular for obtain a so-called legitimate power for obtaining that others obey even though they are not subordinate or from them they transmit information, even though they would be competitors: it would then be necessary to remember that only the Law is able to appoint judge ; in this new Compliance era, companies would be judges, prosecutors, investigators! Maybe, if the Law says it, but if it didn't, it would be necessary to come back to this tautology ... But are we in such a radicalism? Moreover, do judges have "the prerogative" of judgment and the Law has not admitted this power for companies to judge for a long time? As soon as the procedure is there in Ex Ante and the control of the judge in Ex Post?
The second reason, internal to the company, situation on which the article focuses, is that the company investigates itself, judges itself, sanctions itself. However, the legal person expressing its will only through its organs, we underline in practice the difficulties for the same human being to formulate grievances, as he/she is the agent of the legal person, addressed to the natural person that he/she himself/herself is. The two interests of the two are not the same, are often opposed; how the secrets of one can be kept with respect to the other, represented by the same individual? ... It is all the mystery, even the artifice of legal personality that appears and we understand better that Compliance Law no longer wants to use this strange classical notion. Because all the rules of procedure cannot mask that to prosecute oneself does not make more sense than to contract with oneself. This conflict of interest is impossible to resolve because naming the same individual X then naming him/her Y, by declaring open the dispute between them does not make sense.
This dualism, which is impossible to admit when it comes to playing these functions with regard to corporate officers, can come back to life by setting up third parties who will carry secrets and oppositions. For example, by the designation of two separate lawyers for the human being agent and the human being representative of the legal person, each lawyer being able to have secrets for each other and to oppose each other. These spaces of reconstitution of the so "natural" oppositions in procedure between the one who judges and the one who is judged can also take the technological form of platforms: where there is no longer anyone, where the process has replaced the procedure, there is no longer any human judgment. We can thus see that the fear of conflicts of interest is so strong that we resign ourselves to saying that only the machine would be "impartial", a derisory conception of impartiality, against which it is advisable to fight.
This then leads to a final question: can the company claim to exercise the jurisdictional power to prosecute and judge and investigate without even claiming to be a prosecutor, an investigating judge, or a court? The company's advantage would be to be able to escape the legal regime that classical Law attaches to its words, mainly the rights of the defense and the rights of action for others, the principle of publicity of justice for everyone, which expresses the link between procedure and democracy. When Facebook said on June 12, 2021 "react" to the decision of May 5, 2021, adopted by what would only be an Oversight Board to decide "as a consequence" of a 2-year suspension of Donald Trump's account, the art of qualifications seem to be used in order to avoid any regime constraint.
But this art of euphemism is very old. Thus, the States, when they wanted to increase repression, presented the transformation of the system as a softening of it through the "decriminalization" of Economic Law, transferred from the criminal courts to the independent administrative agencies. The efficiency was greatly increased, since the guarantees of the Criminal Procedure ceased to apply. But 20 years later, Words found their way back to Things: under Criminal Law, slept the "criminal matter", which requires the same "Impartiality". In 1996, a judge once affirmed it and everything was changed. Let us therefore wait for what the Courts will say, since they are the masters of qualifications, as Article 12 of the French Code of Civil Procedure says, as Motulsky wrote it in 1972. Law has time.
________
Feb. 2, 2023
Thesaurus : Doctrine
► Full Reference: F. Ancel, "Le principe processuel de compliance, un nouveau principe directeur du procès ?" (The procedural principle of compliance, a new trial leading principle?), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 225-230.
____
📕read a general presentation of the book, La juridictionnalisation de la compliance, in which this article is published
____
► Summary of the article (done by the Journal of Regulation & Compliance): Through this article, the author formulates a proposal: elevating the principle of compliance to the rank of leading principle of the trial. To support this, the author firstly emphasizes the convergence of the aims of compliance and the purpose of the trial. Indeed, emphasizing that Compliance Law does not oust either the State or the judge, as soon as compliance means that the person must keep their commitments and that the trial is also based on this principle that the parties must conform to the principles and to their own "speech", compliance thus becomes a trial leading principle.
In a second part of the article, the author illustrates his point in a very concrete way. First, the protocols of procedure which are drawn up by the courts and the bars are commitments which should justify a form of constraint which, if it should not have the same form and nature as that of the law, must all the same even have consequences when a party fails to do so. Secondly, relying on French case law which sanctions a party which had accepted the principle of an arbitration and then systematically hinders its implementation, the author suggests that under the principle of compliance can be grouped the notions for the instant scattered of loyalty, consistency (estoppel) and efficiency.
Thus, this "open practice" echoing the "open way" of a procedural principle of compliance brings out this one.
________
Feb. 2, 2023
Organization of scientific events
► Full reference: M.-A. Frison-Roche, co-organisation de la formation ENM Droit de la Compliance, co-organisé entre l'École nationale de la magistrature et le Journal of Regulation & Compliance (JoRC), les 2 et 3 février 2023.
____
► General presentation of the course: The two-day session is designed for magistrates and practicing lawyers who are not necessarily specialized, to enable them, based on concrete cases, to understand the issues, objectives, and methods of compliance mechanisms in companies, including the increasing judicialization and the supranational dimension strengthen, modifying the office of the judge and the role of lawyers.
The analysis is made from the angle of Civil Law (contract, tort), Company Law, Labor Law and Criminal Law, but also governance, financial markets, regulatory, climate and digital issues.
____
► Brief bibliography:
- M.-A. Frison-Roche (dir.), Compliance Jurisdictionalisation, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023.
- M.-A. Frison-Roche (dir.), Compliance Monumental Goals, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2022.
- M.-A. Frison-Roche (dir.), Compliance Tools, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2021.
- N. Borga, J.-Cl. Marin, J.-Ch. Roda (dir), Compliance : l'entreprise, le régulateur et le juge, coll. Régulations & Compliance, Journal of Regulation & Compliance (JoRC) and Dalloz, 2018.
- M.-A. Frison-Roche (dir.), Pour une Europe de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2019.
- M.-A. Frison-Roche (dir.), Régulation, Supervision, Compliance, coll. "Régulations", Journal of Regulation & Compliance (JoRC) and Dalloz, 2017.
____
► Will speak:
🎤François Ancel, Judge at the Première chambre civile de la Cour de cassation ( First civil chamber of the Court of Cassation)
🎤Guillaume Beaussonie, Professor at Toulouse 1 Capitole University
🎤Jean-François Bohnert, Procureur national financier
🎤Gilles Briatta, Group General Secretary of the Groupe Société Générale
🎤Marie-Anne Frison-Roche, Director of the Journal of Regulation & Compliance (JoRC)
🎤Cécile Granier, senior lecturer at Jean-Moulin Lyon 3 University
🎤Jean-Michel Hayat, Premier Président honoraire de la Cour d'appel de Paris
🎤Christophe Ingrain, Avocat à la Cour
🎤Anne-Valérie Le Fur, Professor at Versailles Saint-Quentin-en-Yvelines University
🎤Stanislas Pottier, Senior Advisor to the General Management of Amundi
🎤Jean-Baptiste Racine, Professeur à l'Université Panthéon-Assas (Paris II)
🎤Juliette Thery, Membre du Collège de l'Arcom
____
Lire une présentation détaillée de la manifestation ci-dessous⤵️
Jan. 12, 2023
Thesaurus : 05. CJCE - CJUE
Référence complète : CJUE, 1ière ch., 12 janv. 2023, RW c. Österreichische Post AG, C-154/21.
____
_____
Fiche de l'arrêt : Dans un contentieux entre un particulier et une entreprise postale (RW c. Österreichische Post AG, la Cour suprême de l'Autriche a décidé le 18 février 2021 de saisir la CJUE d'une question préjudicielle sur le sens à donner au "droit d'accès de la personne concernée à ses données" (article 15 RGPD) : jusqu'où doivent aller les informations à lui communiquer sur les destinataires ou catégories de destinataires auxquelles ces informations sont communiquées par celui qui recueille ces informations.
considérant les observations présentées :
– pour RW, par Me R. Haupt, Rechtsanwalt,
– pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,
– pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,
– pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,
– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,
– pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,
– pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,
– pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,
– pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.
Le cadre juridique
3 Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :
« (4) [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]
[...]
(9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]
[...]
(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]
[...]
(63) Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]
[...]
(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »
4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :
« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »
5 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
6 L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :
« 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
[...]
5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou
b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
[...] »
7 L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :
« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[...]
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]
[...] »
8 L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :
« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
[...]
e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
[...] »
9 Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
a) les finalités du traitement ;
b) les catégories de données à caractère personnel concernées ;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
f) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »
10 L’article 16 du RGPD, intitulé « Droit de rectification », dispose :
« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »
11 Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
[...] »
12 L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :
« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
[...] »
13 L’article 19 du RGPD est ainsi libellé :
« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »
14 Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :
« 1. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.
3. Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
4. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.
5. Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
6. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »
15 L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
16 L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :
« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
Le litige au principal et la question préjudicielle
17 Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.
18 En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.
19 RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.
20 Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.
21 Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.
22 RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.
23 Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.
24 Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.
25 En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.
26 Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.
27 Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »
Sur la question préjudicielle
28 Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.
29 À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).
30 S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.
31 À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.
32 Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.
33 Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.
34 En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).
35 Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.
36 En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.
37 En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).
38 En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).
39 Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.
40 Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.
41 Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.
42 Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.
43 Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.
44 Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).
45 Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.
46 Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.
47 Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).
48 Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.
49 En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.
50 En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.
51 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Sur les dépens
52 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Signatures
* Langue de procédure : l’allemand.
ARRÊT DE LA COUR (première chambre)
12 janvier 2023 (*)
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 15, paragraphe 1, sous c) – Droit d’accès de la personne concernée à ses données – Informations sur les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées – Limitations »
Dans l’affaire C‑154/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Oberster Gerichtshof (Cour suprême, Autriche), par décision du 18 février 2021, parvenue à la Cour le 9 mars 2021, dans la procédure
RW
contre
Österreichische Post AG,
LA COUR (première chambre),
composée de M. A. Arabadjiev, président de chambre, M. L. Bay Larsen, vice‑président de la Cour, faisant fonction de juge de la première chambre, MM. P. G. Xuereb, A. Kumin et Mme I. Ziemele (rapporteure), juges,
avocat général : M. G. Pitruzzella,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour RW, par Me R. Haupt, Rechtsanwalt,
– pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,
– pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,
– pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,
– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,
– pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,
– pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,
– pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,
– pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.
Le cadre juridique
3 Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :
« (4) [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]
[...]
(9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]
[...]
(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]
[...]
(63) Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]
[...]
(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »
4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :
« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »
5 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
6 L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :
« 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
[...]
5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou
b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
[...] »
7 L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :
« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[...]
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]
[...] »
8 L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :
« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
[...]
e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
[...] »
9 Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
a) les finalités du traitement ;
b) les catégories de données à caractère personnel concernées ;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
f) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »
10 L’article 16 du RGPD, intitulé « Droit de rectification », dispose :
« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »
11 Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
[...] »
12 L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :
« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
[...] »
13 L’article 19 du RGPD est ainsi libellé :
« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »
14 Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :
« 1. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.
3. Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
4. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.
5. Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
6. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »
15 L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
16 L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :
« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
Le litige au principal et la question préjudicielle
17 Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.
18 En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.
19 RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.
20 Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.
21 Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.
22 RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.
23 Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.
24 Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.
25 En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.
26 Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.
27 Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »
Sur la question préjudicielle
28 Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.
29 À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).
30 S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.
31 À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.
32 Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.
33 Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.
34 En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).
35 Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.
36 En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.
37 En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).
38 En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).
39 Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.
40 Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.
41 Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.
42 Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.
43 Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.
44 Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).
45 Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.
46 Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.
47 Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).
48 Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.
49 En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.
50 En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.
51 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Sur les dépens
52 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Signatures
* Langue de procédure : l’allemand.
Jan. 7, 2023
Thesaurus : Doctrine
► Référence complète : J. Harrison, "Trade Agreement and Sustainability: Exploring the Potential of Global Value Chain (GVC) Obligations", Journal of International Economic Law, 2023
____
► Résumé de l'article (fait par l'auteur ) : Après
____
🦉Les étudiants de Marie-Anne Frison-Roche peuvent avoir accès au texte intégral
________
Updated: Dec. 28, 2022 (Initial publication: July 10, 2022)
Publications
♾️ follow Marie-Anne Frison-Roche on LinkedIn
♾️ subscribe to the Newsletter MAFR Regulation, Compliance, Law
____
► Full reference: M.A. Frison-Roche, Regulatory and Compliance Law, expression of the missions of a professional Order, Working Paper, July 2022.
____
🎤 This Working Paper has been done as basis for an intervention in the Annual Congress of the French Professional Order of the Géomètres-Experts, September 15, 2022 (conference given in French)
____
🎥watch the short presentation of this speech (in French)
____
🎥watch the full speech given on 15 September 2022, based on this working paper
____
► Summary of the Working Paper: Professional orders should not present themselves as exceptions, however legitimate they may be, in relation to a principle, which would be the competitive system, but as the expression of a principle. This principle is expressed by two branches of Law whose importance is constantly growing in European Law, liberal branches which are based on the conception of economic life and the definition of company, turned towards the future: the Regulatory Law and Compliance Law, two branches of Law at the same time related and distinct.
Indeed, and this is the topic of the first part, Competition Law conceives professional orders as exceptions since these "corporations" constitute structural agreements. French domestic legal system both consolidates the professional orders by backing them up to the State, which would sub-delegate its powers to them, but involves them in the questioning by the European Union of the States and their tools. Most often the temptation is then to recall with a kind of nostalgia the times when the professional orders were the principle but, except to ask for a restoration, the time would be no more.
A more dynamic approach is possible, in accordance with the more general evolution of Economic Law. Indeed, the Professional Order is the expression of a profession, a little-exploited concept in Economic Law, over which the Order exercises the function of "Second-level Regulator", the public authorities exercising the function of "First-level Regulator". The Banking and Financial Regulatory Law is built in this way and operates thank to that, at national, European, and global level. This is what should be linked.
The Professional Orders therefore have the primary function of spreading a "Culture of Compliance" among the professionals they supervise and beyond them (clients and stakeholders). This culture of Compliance is developed regarding the missions which are concretized by the professionals themselves.
Therefore, the second part of the Working Paper deals with the legal evolution of the notion of "Mission" which has become central in Economic and General Law, through the technique of the mission-based company. However, there are multiple points of contact between the raison d'être, the company with a mission and Compliance Law as soon as the latter is defined by the concrete and overly ambitious goals that it pursues. : the Monumental Goals.
Each structure, for example the French Ordre des Géomètres-Experts, is legitimate to set the Monumental Goal that it pursues and that it inculcates, in particular the conception of territory and the living environment, joining what unites all the Monumental Goals of Compliance: concern for others. The French Ordre des Géomètres-Experts, is adequate because it has a more flexible relationship, both tighter and broader, with the territory than the State itself.
By instilling this in professionals, the Professional Order develops in the practitioner an "ex ante responsibility", which is a pillar of Compliance Law, constituting both a charge and a power that the practitioner exercises, and of which the Professional Order must be the supervisor.
____
🔓read the Working Paper⤵️
Dec. 8, 2022
Conferences
♾️ suivre Marie-Anne Frison-Roche sur LinkedIn
♾️s'abonner à la Newsletter MAFR Regulation, Compliance, Law
____
► Référence complète : M.-A. Frison-Roche, "La compliance, perspective dynamique pour exprimer la raison d'être des commissaires de justice", in Table-ronde sur "Professions réglementées, ambitions et enjeux", Congrès annuel national des Commissaires de justice, Paris, 8 décembre 2022.
____
►lire le programme complet du congrès et 🎥regarder la présentation du colloque par le président du Congrès
____
____
►présentation de l'intervention : Ce premier congrès annuel national des Commissaires de justice, réunissant pour la première fois la profession réformée, a débuté par un débat de 2 heures animé par une journaliste, débat entre les autres professions, les autorités publiques (Autorité de la concurrence, Chancellerie), ayant pour ma part à y apporter le regard académique :
Ce débat fut particulièrement animé et vivant, ne serait-ce qu'en raison de la configuration des lieux, chacun étant placé pour entrer dans un dialogue :
🎤 J'y pris la parole en premier pour insister sur le fait que les "professions" sont des structures qui ont un grand avenir, en ce qu'elles s'articulent avec le système économique libéral, qu'elles sont par nature régulées et porteuses de régulation, dans des systèmes qui, pour demeurer libéraux, vont en avoir de plus en plus besoin. Cela est pertinent pour la profession des Commissaires de justice qui procurent de la sécurité, via de l'incontestabilité reposant aussi sur le lien entre celle-ci et les faits, et qui assurent l'effectivité des engagements en gardant le souci du lien social.
🎤 J'ai repris la parole lorsque la place de la Compliance fut évoquée. Dépassant l'exigence de "conformité", qui n'est qu'un outil de la Compliance, j'ai montré l'avenir du Droit de la Compliance, notamment dans l'Europe qui associe dynamisme économique, souci des personnes et de l'environnement, et l'alliance que cela implique entre les Autorités politiques et publiques et les entités susceptibles de participer à la concrétisation de ces Buts Monumentaux de la Compliance.
📕 Pour aller plus loin : M.-A. Frison-Roche (dir.), Les buts monumentaux de la compliance, 2022.
________
regarder la présentation du colloque par le président du Congrès
Dec. 5, 2022
Teachings : Participation à des jurys de thèses
♾️ suivre Marie-Anne Frison-Roche sur LinkedIn
♾️s'abonner à la Newsletter MAFR Regulation, Compliance, Law
____
► Référence : M.-A. Frison-Roche, membre du jury de la thèse d'Antoine Oumedjkane, Compliance et droit administratif, Université de Montpellier, Salle des Actes, Université de Montpellier, 5 décembre 2022, 14h-
____
► Autres membres du jury :
- Pascale Idoux, directrice de la thèse
- Lucie Cluzel-Métayer, rapporteure
- Aude Rouyère, rapporteure
- Thomas Perroud, professeur à l'Université Panthéon-Assas (Paris II)
____
► Résumé de la thèse :
____
Dec. 1, 2022
Publications
🌐 follow Marie-Anne Frison-Roche sur LinkedIn
🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law
____
► Full Reference: M.-A. Frison-Roche, "Contrat de compliance, clauses de compliance", Chronique of Compliance Law, D.2022, p.2115-2117.
____
📝reac the article (this article is written in French)
____
► English summary of the article: Compliance Law is often seen only as an obligation to comply with regulations. Contract Law is masked by the study of texts and sanctions. Civil liability cases are beginning to highlight the commitments of companies, acts of will. It remains to discern the importance of contracts.
First, there is a specific contract: the "compliance contract". Its purpose is to provide a third party with a service, the means for the company to "comply" with the legal systems requirements ("contract of conformity"), and/or to enable the company to achieve the monumental goals that characterize Compliance Law (contract of compliance). The interpretation and the regime of these compliance contracts must be marked by the Compliance Law that permeates it. Secondly, there are a multitude of stipulations aimed at conformity and Compliance.
____
🚧read the working paper written in English: Compliance contract, Compliance stipulations
____
📚read the other articles published in this chronique of Compliance Law published in the Recueil Dalloz.
________
Nov. 18, 2022
Publications
♾️ suivre Marie-Anne Frison-Roche sur LinkedIn
♾️s'abonner à la Newsletter MAFR Regulation, Compliance, Law
____
► Référence complète : M.-A. Frison-Roche, "Ce qui est commun à la Compliance, au Contrat et aux Parties contractantes". Éléments pour la synthèse", in Journal of Regulation & Compliance (JoRC) et Université de Nîmes Compliance et Contrat : les acteurs et leurs stratégies, Nîmes, 18 novembre 2022.
____
🧮 lire le programme complet du colloque
____
🏗️Ce colloque prend place dans le cycle de colloques, organisé par le Journal of Regulation & Compliance (JoRC) et les Universités qui sont ses partenaires académiques, pendant l'année 2022/2023 autour du thème général L'obligation de compliance.
____
► des difficultés techniques et d'organisation du temps ont empêché l'exposé oral de la synthèse réalisée sur le vif au terme de l'audition des différentes contributions faites dans la journée. Il en reste donc les notes prises sous la forme d'un document de travail, auquel le lendemain ont été ajoutées quelques notes en pop-up pour aller plus loin.
____
► Résumé du document de travail résumant le colloque : En premier lieu, il convient de ne pas confondre les trois piliers dont l'enjeu est de percevoir l'articulation. En effet pour mesurer les stratégies des parties par l'usage qu'elles font du contrat au regard de leurs obligations de compliance, il faut distinguer leurs obligations de conformité et leurs obligations de compliance; distinguer dans les contrats les éléments subjectifs (que sont les parties) des éléments objectifs (que sont les clauses), distinguer le contrat au sens technique des mouvements de "contractualisation" qui renvoie à une appellation plus large et plus vague, distinguer entre la partie juridiquement contractante, personne morale ou personne physique, de l'entreprise, souvent désignée comme le sujet du Droit de la Compliance, distinguer l'usage que celle-ci fait de son pouvoir normatif de l'usage qu'elle fait de son pouvoir contractuel, distinguer les techniques juridiques de régulation au sens strict de ce qu'on désigne souvent d'une façon plus générale et plus vague comme un pouvoir de "régulation". Ces distinctions sont d'autant plus bienvenues que s'agissant des parties contractantes, il convient de distinguer les parties au contrat et les "parties prenantes" telles que le Droit de la Compliance les considère, l'ensemble de ces distinctions et articulations montrant qu'à première vue le Droit de la Compliance montrant plutôt l'entreprise assujettie dans un rapport avec la norme unilatéralement édictée, le contrat ne lui serait pas forcément l'instrument le plus naturellement adéquat.
Pourtant, en deuxième lieu, les clauses de compliance, voire les contrats de compliance, ont été multipliées par les entreprises parce que c'est un moyen pour elles de satisfaire leurs obligations légales de compliance en se créant, par le contrat, des débiteurs qui exécutent des prestations de compliance. Ainsi, c'est parce qu'il est assujetti légal qu'il devient créancier contractuel tandis que son cocontractant en devient débiteur parce que sa profession l'implique ou parce que sa position dans la chaîne de valeur l'implique.
En troisième lieu, les créanciers et les débiteurs contractuels d'un contrat de compliance ou d'une clause de compliance peuvent être concrètement saisis, comme le font les textes eux-mêmes qui ne visent que les opérateurs cruciaux, les contrats distinguant parmi les parties des catégories concrètement distinctes.
____
🔓Lire les développements du document de travail, constituant la synthèse du colloque, ci-dessous ⤵️
Nov. 18, 2022
Conferences
♾️ suivre Marie-Anne Frison-Roche sur LinkedIn
♾️s'abonner à la Newsletter MAFR Regulation, Compliance, Law
____
► Référence complète : M.-A. Frison-Roche, "Le juge, tiers régulateur des obligations contractuelles de compliance", in Journal of Regulation & Compliance (JoRC) et Université de Nîmes, Laboratoire CHROME, Compliance et Contrat : les acteurs et leurs stratégies, Nîmes, 18 novembre 2022.
____
🏗️Cette conférence prend place dans le cycle de colloques, organisé par le Journal of Regulation & Compliance (JoRC) et les Universités qui sont ses partenaires académiques, pendant l'année 2022/2023 autour du thème général L'obligation de compliance.
____
🎤 consulter la synthèse également faite de ce colloque
____
🧮Consulter le programme complet de cette manifestation
____
🚧lire le document de travail servant de base à cette conférence
____
📝Cette conférence sera la base d'un article, à paraître dans un ouvrage qui en résultera, dans sa version française, dans la collection 📚Régulation & Compliance coéditée entre le JoRC et les Editions Dalloz, et dans sa version anglaise, dans la collection 📚Compliance & Regulation coéditée entre le JoRC et les Editions Bruylant.
____
Nov. 12, 2022
Publications
♾️ suivre Marie-Anne Frison-Roche sur LinkedIn
♾️ s'abonner à la Newsletter MAFR Regulation, Compliance, Law
____
► Référence complète : M.-A. Frison-Roche, Automated Compliance, a pertinent tool for Compliance Law, the whole, document de travail, novembre 2022.
____
📝Ce document de travail sert de base à une participation à un débat sur "Automated Compliance : "the" solution or "a" solution?, qui déroule dans le Sommet global de Gaia-X le 17 novembre 2022.
____
►Résumé du document de travail : s'appuyant sur la présentation préalablement faite au débat par un membre de la Commission européenne, il s'agit de souligner trois éléments qui montrent que l' Automated Compliance (ou Compliance by design) est à la fois un outil central, mais qu'il n'est un outil du Droit de la Compliance dont il ne saurait remplir par sa seule performance technologique toutes les fonctions dans un Etat de Droit.
En premier lieu, l'Union européenne semble en difficulté lorsqu'elle veut tout à la fois bâtir un système juridique qui lui est propre sur la base de Lois dont chacune est la pièce d'un gigantesque puzzle pour obtenir une industrie pérenne et autonome dans une économie numérique mondiale totalement renouvelée, ce qui fait peser sur les entreprises une charge considérable d'intégration de toutes ces règles du jeu, tout en affirmant qu'il faut alléger la charge que la "réglementation" fait peser sur elles.
En second lieu, la meilleure solution pour résoudre cette ambition contradictoire est effectivement dans la technologique, les algorithmes intégrant directement les réglementations. Mais plus encore, l'ensemble de ces textes reposent sur une autonomie laissée en Ex Ante aux entreprises européennes pour s'organiser entre elles afin de concrétiser les "buts monumentaux" que l'Union européenne a décidé d'atteindre, dont la réalisation d'un cloud souverain est au centre.
Ainsi la distinction et l'articulation d'un "Droit de la Compliance", défini par ces "buts monumentaux", dont lequel l'intelligence artificielle est un outil, le "tout" (Compliance Law) et la "partie" (Automated Compliance) est essentielle.
En troisième lieu, cette distinction et articulation est non seulement bénéfice mais elle est obligatoire. En effet, même si le Droit de la Compliance constitue une branche du Droit, elle fonctionne dans le système juridique générale, qui ne fonctionne que par l'esprit des textes, les outils algorithmiques ne capturant que la lettre de ceux-ci. Ces tribunaux sont et seront au cœur du Droit de la Compliance, le cas Schrems l'a bien montré. C'est pourquoi la Technologie et le Droit doivent travailler ensemble, et davantage à l'avenir, notamment parce qu'un outil pour l'effectivité du Droit ne pourra jamais rendre compte de la vie même du système juridique.
________
🔓Lire ci-dessous les développements⤵️
Oct. 26, 2022
Public Auditions
🌐 suivre Marie-Anne Frison-Roche sur LinkedIn
🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law
____
► Référence complète : M.-A. Frison-Roche, Audition en qualité d'amica curiae par le Tribunal judiciaire de Paris, en formation de référé, sur le système de compliance et la place qu'y occupe le devoir de vigilance, 26 octobre 2022.
____
Cette audition a été faite en compagnie de deux autres amici curiae, pareillement désignés par le Tribunal : les professeurs Jean-Baptiste Racine et Bruno Deffains.
Cette audition a été demandée par et à l'initiative du Tribunal judiciaire de Paris à l'occasion d'un contentieux qui oppose des associations à l'entreprise TotalEnergie, les premières alléguant des manquements au devoir de vigilance de la part de la seconde, le Tribunal demandant à des personnalités hautement qualifiées de l'éclairer sur le système de compliance et ses implications.
_____
📝Lire l'article de compte-rendu d'audience publié le 27 octobre 2022 par Olivia Dufour. (Actu-juridique)
📝Lire l'article de compte-rendu de l'audience du 7 décembre 2022, représentant la présentation du Droit de la Compliance par MaFR publié le 7 décembre 2022 par Mathilde Golla (Les Echos)
📝Lire l'article sur le recours à l'amicus curiae, débutant par le recours fait dans cette affaire, publié le 8 décembre 2022 par Nicolas Cayrol (Recueil Dalloz)
________
Oct. 23, 2022
Thesaurus : Doctrine
► Full Reference: F. Ancel, "Compliance Law, a new guiding principle for the Trial?", in M.-A. Frison-Roche (ed.), Compliance Jurisdictionalisation, Journal of Regulation & Compliance (JoRC) and Bruylant, coll. "Compliance & Regulation", to be published.
____
📘read a general presentation of the book, Compliance Jurisdictionalisation, in which this article is published
____
► Summary of the article (done by the Journal of Regulation & Compliance): Through this article, the author formulates a proposal: elevating the principle of compliance to the rank of leading principle of the trial. To support this, the author firstly emphasizes the convergence of the aims of compliance and the purpose of the trial. Indeed, emphasizing that Compliance Law does not oust either the State or the judge, as soon as compliance means that the person must keep their commitments and that the trial is also based on this principle that the parties must conform to the principles and to their own "speech", compliance thus becomes a trial leading principle.
In a second part of the article, the author illustrates his point in a very concrete way. First, the protocols of procedure which are drawn up by the courts and the bars are commitments which should justify a form of constraint which, if it should not have the same form and nature as that of the law, must all the same even have consequences when a party fails to do so. Secondly, relying on French case law which sanctions a party which had accepted the principle of an arbitration and then systematically hinders its implementation, the author suggests that under the principle of compliance can be grouped the notions for the instant scattered of loyalty, consistency (estoppel) and efficiency.
Thus, this "open practice" echoing the "open way" of a procedural principle of compliance brings out this one.
____
🦉This article is available in full text to those registered for Professor Marie-Anne Frison-Roche's courses
________
Oct. 20, 2022
Thesaurus : Doctrine
► Full Reference: F.-X. Train, "Arbitration and parallel proceedings exercised in Compliance Procedure", in M.-A. Frison-Roche, M.-A. (ed.), Compliance Jurisdictionalisation, series "Compliance & Regulation", Journal of Regulation & Compliance (JoRC) and Bruylant, to be published.
___
► the summary below describes the article that follows an intervention in the scientific manifestation Compliance et Arbitrage, co-organised by the Journal of Regulation & Compliance (JoRC) and the University Panthéon-Assas (Paris II). This conference was designed by Marie-Anne Frison-Roche and Jean-Baptiste Racine, scientific co-directors, and took place in Paris II University on March 31, 2021.
In the book, the article will be published in the Chapter III, devoted to: Compliance et Arbitrage international.
___
► Article Summary: Firstly, the article insists on the principle of the autonomy of the international arbitration procedure, in relation to which parallel procedures remain watertight, whether they are criminal or done under Compliance Law. In the arbitral proceedings taking place independently, the arbitrators before whom the facts also referred to in these parallel proceedings, in particular the facts of corruption, are alleged before them as facts through their unlawful nature: it is at this title that they can and must apprehend them, using the standard of proof which is the bundle of clues.
Secondly, the article highlights the limits of the autonomy of international arbitration. These may be de facto limits because in the search for evidence by arbitrators, red flags are often insufficiently consistent evidence to establish a sentence, especially since this sentence may be subject to control by the judge of its conformity to international public order, the annulment by the judge being able to be based on external elements, even after the arbitration procedure. It may then be wise for the arbitrators, who are not forced to do so, to suspend their proceedings to wait the results of the parallel proceedings initiated under Compliance Law, so that the procedures and their results could be harmonious.
____
__________
Oct. 12, 2022
Conferences
♾️ follow Marie-Anne Frison-Roche on LinkedIn
♾️subscribe to the Newsletter MAFR Regulation, Compliance, Law
____
► Full Reference: Frison-Roche, M.A., La compliance en entreprise : aspects théoriques et pratiques, in 118ième Congrès des Notaires, L'ingénierie notariale, Marseilles, October 12, 2022.
This Masterclass is given in French.
____
► English Presentation of this Masterclass: This two-hour Masterclass aims to introduce, regarding the role of the Notary in companies and vis-à-vis them, Compliance Law.
This discover of Compliance Law is built on a description of the new Compliance techniques of which companies are the object or the source (I) then, faced with such a mass of new standards, because this is incomprehensible and uncontrollable if these so many regulations are not "conceived", explain what can give meaning to this Compliance Law, namely the "Monumental Goals" which animate it and give it meaning (II). Like the Regulation Law that Compliance prolongs, Compliance Law is a teleological branch of law that requires that the application and interpretation of norms be done by these Monumental Goals.
____
This Masterclass is given in French: see some technical references in English ⤵️
Oct. 12, 2022
Thesaurus
Référence complète : Jaune, R., Règles pénales et administratives de la lutte anticorruption : l'influence des normes étrangères et internationales, Revue française d'administration publique, 2020/3, n°175, p.645-659.
____
Oct. 5, 2022
Interviews
🌐suivre Marie-Anne Frison-Roche sur LinkedIn
🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law
____
► Référence complète : M.-A. Frison-Roche, " Youporn : Le Droit doit se renouveler face à la transformation du monde par l'espace numérique", entretien avec Olivia Dufour, Actu-juridique, 5 octobre 2022.
___
💬Lire l'entretien dans son intégralité
____
Lire l'entretien précédent : 💬L'efficacité de la Compliance illustrée par l'affaire Youporn
____
► Présentation de l'entretien par le journal : "Comment parvenir à bloquer efficacement l’accès des mineurs aux contenus pornographiques sur internet ? C’est à cette difficile question que s’est attaquée l'Arcom (Autorité de régulation de la communication audiovisuelle et numérique). Avec pour l’instant un succès mitigé. Début septembre, alors que le régulateur demandait au juge de bloquer les cinq sites n’ayant pas obéi à son injonction de modifier leurs conditions d’accès, la justice a décidé de renvoyer le dossier devant un médiateur. Entre temps, un rapport sénatorial publié le 28 septembre souligne l’urgence d’agir. Nous avons demandé au professeur Marie-Anne Frison-Roche, spécialiste de droit de la compliance, comment à son avis il est possible de lutter efficacement contre les dérives de l’industrie pornographique".
____
► Questions posées :
- Dans l'affaire Youporn, la décision du tribunal judiciaire de renvoyer le dossier vers la médiation a suscité un certain émoi. N'est-ce pas le signe d'une forme de renoncement de la justice, avec tout ce que cela implique d'un point de vue symbolique ?
- En quoi le droit de la compliance serait-il plus efficace que les méthodes traditionnelles ?
- Mais n’est-ce pas, d’une certaine façon leur permettre de s’autoréguler, solution que précisément le rapport sénatorial écarte radicalement, estimant qu’elle n’est pas efficace ?
- Le problème, à en croire les sites concernés, c’est qu’il n’y aurait pas de solution qui soit à la fois efficace et respectueuse de la protection de la vie privée…
- Pensez-vous que la compliance ait une chance de réussir là où les outils plus traditionnels connaissent un échec relatif ?
________
Sept. 30, 2022
Compliance: at the moment
♾️ suivre Marie-Anne Frison-Roche sur LinkedIn
♾️ s'abonner à la Newsletter MAFR Regulation, Compliance, Law
____
► Référence complète : M.-A. Frison-Roche, "Youporn. La question est : comment appliquer les textes ? Pour arriver à quelque chose", Newsletter MAFR Law, Compliance, Regulation, 30 septembre 2022.
____
Dans l'actualité, l'on peut suivre deux évènements qui ont trait à l'efficacité des législations, mise en question sur un même objet industriel : la pornographie.
Le premier événement est ponctuel : l'on peut lire le rapport du Sénat sur l'industrie pornographique, publié en septembre 2022, Porno : l'enfer du décor, bon titre, moins austère que les titres des classiques rapports parlementaires, rapport très documenté et très engagé, qui dresse un constat terrifiant de l'industrie pornographique et demande une action immédiate, de tous. Notamment le rapport demande à ce que "enfin" (le "enfin" est dans le titrage du bloc de recommandations à ce propos) l'interdiction d'accès des mineurs aux prestations pornographiques soit effective.
Le second événement se déroule dans le temps : l'on peut suivre l'action des Autorités de supervision et judiciaires à l'encontre de sites pornographiques pour obtenir que ceux-ci contrôlent effectivement l'âge des internautes qui accèdent aux sites et ne contentent pas d'une déclaration de ceux-ci, cliquant sur le bouton affirmant qu'ils sont majeurs.
Il s'agit donc bien du même objet.
I. UN CONSTAT FAIT ET REFAIT : UNE DIFFICULTÉ EXTREME DE MISE EN OEUVRE
Le phénomène de la pornographie a fait l'objet de multiples études, issues de diverses disciplines.
On s'accorde à admettre que dans sa pratique les conditions de son exercice sont d'une part le plus souvent atroces pour les personnes qui y sont enrôlées, et sont d'autre part dommageables pour les spectateurs, de plus en plus souvent des enfants, pornographie et violence s'alimentant.
Contre cela, les institutions publiques peinent, le rapport rappelant les chiffres accablants de l'échec des politiques publiques au secours des personnes dites "actrices", aussi bien qu'à l'égard des spectateurs, puisque tout le monde "consent", les relais d'éducation (parents, écoles, médias) fonctionnant mal.
Le rapport du Sénat demande donc une mobilisation de l'Etat, comme dans une guerre contre un fléau, une politique d'éducation tous azimuts, des parents actifs, une politique publique d'ensemble pour veiller à ce que ces excès, qui sont en réalité l'ordinaire, soient le plus possibles détectés et prévenus.
Revenons d'une façon plus modeste à l'état du Droit positif, exposé clairement dans le rapport et qu'il ne s'agit pas de remettre en cause dans ses principes.
II. L'ETAT DU DROIT : LA LICÉITE ET DE PRINCIPE ET L'INTERDICTION PÉNALE DE L'ACCES AUX MINEURS : UN PROBLEME EX ANTE DE RÉGULATION DU NUMÉRIQUE
L'état du Droit est clair. La pornographie est licite. De la même façon que la prostitution est licite.
L'on peut en penser ce que l'on veut et en débattre, et de l'un et de l'autre (car la pornographie est de fait liée à la prostitution comme elle est liée à la violence) mais en l'état du Droit positif il s'agit d'une activité licite.
Le Droit pénal interdit certaines pratiques, soit d'une façon générale qui peuvent plus particulièrement se retrouver dans la pornographie, comme certains types de violences, comme la torture, soit d'une façon spécifique.
C'est à ce titre que d'une façon très précise le Code pénal, dans son article 227-24, réécrit en 2020 pour l'adopter à l'espace numérique, non seulement interdit pénalement l'accès des mineurs aux sites pornographiques mais obligent les sites à contrôler effectivement l'âge des internautes.
L'on peut en penser ce que l'on veut et en débattre mais c'est l'état du Droit positif.
Le Droit dans sa construction n'est pas remis en cause : tout est question de mise en oeuvre. Non seulement l'industrie pornographique explose, faisant désormais partie de la vie quotidienne, mais les dispositions pénales de contrôle de l'âge n'ont pas d'effectivité.
C'est donc un enjeu de compliance, à un double titre : en premier lieu, parce qu'en la matière une fois que les enfants ont consommé le mal systémique que constitue la représentation des femmes comme produits à consommer sans modération les sanctions ne sont plus guère le sujet, le sujet relevant donc avant tout de l'Ex Ante, de la prévention et de la détection, donc d'outils de Compliance ; en deuxième lieu, parce qu'il s'agit d'une industrie qui prospère désormais sur des plateformes, plateformes numériques sur lesquelles l'Autorité de régulation qu'est l'Arcom doit exercer effectivement son pouvoir de supervision, pour que l'espace numérique soit "civilisé", la question de la pornographie rejoignant alors la question de la haine ou de la désinformation dans l'espace virtuel, lesquels reposent sur l'action des opérateurs eux-mêmes, en interaction avec le Régulateur.
🔴mafr, Se tenir bien dans l'espace numérique, 2020.
Ici, concernant la pornographie, le Législateur d'une part, le régulateur et le juge d'autre part, ne réagissent pas de la même façon. Mais tous se soucient de l'effectivité du texte, ce qui est effectivement le seul sujet, sauf à se détester tous les uns les autres.
III LA DEMANDE DU LÉGISLATEUR: ACCROITRE LES POUVOIRS DE SANCTION ET L'ÉDUCATION
Dans le rapport du Sénat, le bloc de recommandations sur cette question a pour titre : Appliquer enfin la loi sur interdiction d'accès des mineurs et protéger la jeunesse.
Les recommandations qui en découlent sont les suivantes :
Recommandation n° 11 : Assermenter les agents de l’Arcom afin de leur permettre de constater eux-mêmes les infractions des sites pornographiques accessibles aux mineurs. Recommandation n° 12 : Confier à l’Arcom la possibilité de prononcer des sanctions administratives, aux montants dissuasifs, à l’encontre des sites pornographiques accessibles aux mineurs. Recommandation n° 13 : Imposer aux sites pornographiques l’affichage d’un écran noir tant que l’âge de l’internaute n’a pas été vérifié. Recommandation n° 14 : Définir, dans les lignes directrices de l’Arcom, des critères exigeants d’évaluation des solutions techniques de vérification de l’âge. Recommandation n° 15 : Imposer le développement de dispositifs de vérification d’âge ayant vocation à servir d’intermédiaire entre l’internaute et les sites consultés, avec un système de double anonymat comme proposé par le PEReN et la CNIL. Recommandation n° 16 : Établir un processus de certification et d’évaluation indépendant des dispositifs de vérification d’âge. Recommandation n° 17 : Activer par défaut le contrôle parental, lorsqu’un abonnement téléphonique est souscrit pour l’usage d’un mineur. Recommandation n° 18 : Mener une campagne de communication autour des dispositifs de contrôle parental.
N'accordant pas crédit à l'autorégulation et à l'éthique des plateformes qui sont des "tubes" à contenus pornographiques qui déversent sur la population des flots d'images de ce type à partir de localisations consistant des paradis réglementaires, le Sénat propose plutôt de donner plus de force juridique au Régulateur et aux parents.
L'on retrouve tous les mécanismes déjà déployés en Régulation bancaire et financière, secteur où les outils de la Compliance sont le plus achevés et dans lequel l'on puise car il constitue le modèle pour l'instant le plus achevé.
La difficulté est sans doute que l'effet réputationnel, qui joue très fortement sur les opérateurs bancaires, a peu d'emprise sur les entreprises qui gère les sites pornographiques. C'est donc vers la contrainte que l'on se tourne : puissance des agents de l'autorité, pouvoir de sanction, écran noir. L'on sait que la faiblesse d'un législateur se mesure aussi au fait qu'il augmente les pouvoirs et la répression sur le papier. Mais la critique est aisée et il est difficile pour le Législateur d'en rester au constat et armer un Régulateur est toujours bienvenu car à l'heure où le contrôle des contenus par les opérateurs numériques, supervisés par le régulateur public, est le principe du Digital Services Act , il serait paradoxal que cette catégorie de sites, légaux mais systémiquement dommageables, ne soient pas dans cette logique générale.
Or, cette logique générale implique par ailleurs une collaboration active entre le Régulateur et le Juge.
Celle-ci permet que l'on passe d'un Droit, notamment pénal, qui soit non seulement "effectif", mais qui soit "efficace", c'est-à-dire qui soit non seulement appliqué mais encore produise les effets pour l'obtention desquels il a été adopté.
C'est ce qui est en cours.
IV. L'ACTION EN COURS DU REGULATEUR ET DU JUGE : TROUVER LE DISPOSITIF TECHNIQUE ADEQUAT
Il y a plusieurs mois, le président de l'Arcom a fait des injonctions, très motivées, à des sites à contenus pornographiques pour qu'ils respectent le Droit pénal et contrôlent l'âge des internautes qui accèdent à leur site, faute de quoi, en application des textes, le juge judiciaire sera saisi.
Par exemple dans sa décision du 7 avril 2022, le président a fait injonction à la société gérant le site youporn de respecter la loi, l'Autorité ayant constaté qu'il suffisait à l'internaute de cliquer sur une affirmation de non-minorité, ce qui ne suffit pas pour respecter l'article 227-24 du Code pénal précité en mettant en place des technologies efficaces. 15 jours étaient laissés pour ce faire.
🔴mafr, 💬 L'efficacité de la compliance illustrée par l'affaire Youporn, entretien avec Olivia Dufour, 21 juin 2022.
Les sociétés enjointes ont répondu qu'en fait elles ne possédaient pas la technologie pour y procéder, qu'elles ne savaient pas comment dépasser le système actuel d'autodéclaration par l'internaute de son âge et qu'en droit la loi sur la protection des données personnelles leur interdisait l'usage des technologies efficaces disponibles. Ainsi, la technologie les bloque, ce qu'elles regrettent tandis que le Droit bloque le Droit, ce dont elles ne sauraient répondre.
L'injonction de l'Arcom étant infructueuse, car si l'obligation de contrôle de l'âge est une obligation de moyens, cela ne peut justifier une fin de non-recevoir, celle-ci a indiqué par un communiqué du 7 septembre 2022 que le Président de l'Arcom avait saisi le président du Tribunal judiciaire de Paris pour que l'accès à ces sites soit fermé par les soins des fournisseurs d'accès aux internautes relevant du Droit applicable.
Le Régulateur demande donc au Juge, pour ces sites et les sites-miroirs qu'ils fabriqueraient que ceux-ci ne soient plus accessibles à partir du territoire français ou par leurs adresses situées sur le territoire, que les internautes soient automatiquement redirigés vers une page d’information expliquant la raison de ce blocage.
Le Juge judiciaire n'a pas rejeté la demande de l'Arcom, mais n'a pas non plus pour l'instant condamné les sites à subir une telle mise en place.
On peut penser qu'il l'a fait car il ne suffit pas de dire que l'on ne sait pas faire pour se soustraire au Droit pénal, mais s'il n'a pas condamné immédiatement les plateformes c'est aussi parce que l'allégation des défendeurs était "vraisemblable" : il est vrai que technologiquement le contrôle de l'âge pose difficulté, le Droit de la Compliance pouvant obliger des opérateurs cruciaux à inventer des technologies adéquates mais cela est sans doute difficile à mettre en place, demande peut-être du temps, tandis que le droit des données à caractère personnel est lui-aussi protégé par le Droit de la Compliance.
Le Juge judiciaire n'a pas pour autant rien fait, renvoyant tout le monde car quand il est saisi, il doit trouver une solution, surtout s'il partage le souci de l'effectivité des textes.
Par une décision du 6 septembre 2022, le Juge judiciaire a ordonné une rencontre de tous dans la perspective de médiation. Ce n'est pas donner tort au Régulateur, ce n'est pas donner tort aux sites.
En effet, lorsqu'il est possible que tous aient raison en ce qui les concerne : lorsque la question est une question de fait, parce que l'enjeu est avant l'application en fait des textes pour l'instant peu appliqués, qui pourraient l'être si l'on trouve de fait des technologies qui n'entravent pas une activité licite mais qui rendent effectifs et efficaces des textes qui ne doivent pas rester lettre morte, dans un monde ici entièrement numérique, la solution d'une discussion est une voie qui peut être fructueuse.
Compliance et Médiation, en raison de la technicité et de l'ampleur systémique des cas, est une perspective heureuse, car le Droit est un art pratique et que, tout particulièrement en Droit de la Compliance, l'efficacité des textes par des mesures Ex Ante, ici les technologies, est un souci premier, l'ensemble devant toujours se dérouler non seulement en conformité mais dans le respect au sens le plus fort du terme de l'Autorité de Régulation, du Juge et de la Loi pénale.
Sept. 27, 2022
Public Auditions
🌐suivre Marie-Anne Frison-Roche sur LinkedIn
🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law
____
► Référence complète : M.-A. Frison-Roche, audition par la Commission des Lois du Sénat sur la Proposition de Loi constitutionnelle relative à l'interruption volontaire de grossesse et à la contraception, 27 septembre 2022.
____
► Lire le dossier législatif, notamment l'exposé des motifs de la proposition de loi.
____
►Résumé de la présentation avant la discussion : ma contribution à la discussion nourrie et très large établie entre les représentants du Sénat et les administratrices et mes collègues, Elisabeth Zoller, Stéphane Mouton et Sophie Paricard, a plutôt consisté à développer la dimension concrète et pratique du sujet et la considération que celle-ci a sur la rédaction d'un texte, s'il venait à l'idée du Législateur de s'en saisir.
En effet, il s'agit non pas tant d'établir un droit subjectif, dont la dimension constitutionnelle en tant que telle peut poser techniquement problème, mais d'assurer son effectivité. Ce terme-même d'effectivité est utilisé par la proposition de loi. Or, la notion d'effectivité est utilisée dans le Droit économique, qui vise les buts, le Droit de la Régulation et de la Compliance visant à obtenir dans une sorte de réussite croissante l'effectivité, l'efficacité et l'efficience des mécanismes juridiques. Mais ce souci de politique publique est difficile à intégrer dans le système juridique, et ce que fait le Droit de la Régulation et de la Compliance est difficile à concevoir au niveau constitutionnel, la notion d' "accès à un droit" étant sans doute un pléonasme par rapport à la notion de "droit à l'effectivité", lequel vise sans doute les différents sujets de droit qui, dans la chaîne concrète qui jalonne la façon dont une femme dispose de son corps, deviendrait débiteurs d'un tel "droit d'accès à un droit".
Une telle notion peut engendrer de nombreux contentieux car les potentiels débiteurs d'un tel droit subjectif, qui aurait valeur constitutionnelle, ont aussi des droits subjectifs à opposer, et c'est une grande agressivité juridictionnelle des uns et des autres, des uns contre les autres, qui peut être ainsi engendrée.
D'ailleurs, placer dans la Constitution un tel droit subjectif sous "De l'autorité judiciaire" est inapproprié car le droit à l'avortement est protégé également par le juge administratif, non seulement à travers le contrôle objectif des textes mais encore à travers le contentieux subjectif, les établissements publics étant fortement impliqués dans sa mise en oeuvre.
En outre, de la même façon que l'arrêt Dobbs v. Jackson est un arrêt systémique, visant le fédéralisme, qui en application de la conception par la Cour de celui-ci peut et va priver d'autres droits subjectifs de leur protection constitutionnelle fédérale, le premier à tomber étant sans doute le droit des personnes de même sexe à se marier, mais d'autres peuvent venir, le Constituant français devrait d'ores et déjà (puisqu'il vise l'avenir) soit :
- viser une catégorie plus abstraite de droits subjectifs que le droit à l'avortement, en visant une catégorie . Mais comment délimiter cette catégorie ? comment le dire ?
- soit partir dans le système de liste (ce qui explique l'insertion dans l'article 16, qui met ce droit spécifique à l'avortement parmi une liste d'autres droits, et suppose donc qu'à chaque fois l'on prenne une autre loi pour mettre les autres ...
Cela suppose alors que le Législateur intervenir par à-coup, dans une liste que le juge aura bien du mal à interpréter, sans doute une "liste fermée"..., mais surtout intervienne en Ex-Post, à chaque fois qu'il pense qu'une agression est davantage probable sur un droit que sur un autre (car c'est le raisonnement ici suivi, l'arrêt Dobbs, qui ne concerne pas l'Europe, étant considéré par le Législateur français comme un "signal" de danger sur ce droit-là...) : mais le Législateur d'une part doit intervenir sur l'avenir et non pas sur le passé (les lois "en réaction" ne sont pas de bonne méthode) et doit être abstraites car c'est au juge de décliner sur des situations et droits particuliers (cf. Carbonnier et "l'effet macédonier"). Or, le Conseil constitutionnel n'est pas placé pour faire cela. Quel juge en France pourrait le faire ?
Malgré la bonne intention du Législateur, et en retournant les techniques juridiques dans tous les sens, l'on ne voit pas "quoi faire"...
Mais, puisque l'enjeu n'est pas tant l'existence d'un droit, mais l'effectivité de celui-ci, et l'efficacité d'un système médical et social à le servir dans la "réalité" des choses, pourquoi ne pas se tourner vers le Droit économique, Droit concret et téléologique par excellence ?
Dès lors, si le Législateur devait intervenir pour protéger davantage à l'avenir l'effectivité du droit des femmes à disposer de leur corps, c'est peut-être sous une forme plus incitative, en s'appuyant sur les entreprises qui, comme l'ont fait les entreprises américaines en aidant les femmes à voyager jusqu'aux Etats protecteurs, en ne communiquant pas des informations aux autorités publiques des Etats non-protecteurs, aident concrètement à l'effectivité des droits subjectifs qui sont concrètement menacés, maintenant aux Etats-Unis, éventuellement demain en Europe et en France.
Cela s'appuie sur le Droit de la Compliance.
____
Voir aussi
💬Frison-Roche, M.-A, "La Cour suprême a déclenché la bombe de la sécession. Que faire ?", 5 juillet 2022
💬Frison-Roche, M.-A, Droit à l’avortement : « Le processus de sécession est dans la décision », 27 juin 2022
📧M.-A. Frison-Roche, Seuls les droits subjectifs techniques ne sont pas touchés par l'arrêt Dobbs: c'est sur eux qu'il faut construire une nouvelle théorie de l'entreprise, 29 juin 2022
Sept. 27, 2022
Thesaurus : Soft Law
► Référence complète : Conseil d'État, Les réseaux sociaux. Enjeu et opportunités pour la puissance publique, Rapport annuel, 2022.
____
________
Sept. 25, 2022
Publications
🌐 suivre Marie-Anne Frison-Roche sur LinkedIn
🌐 s'abonner à la Newsletter MAFR Regulation, Compliance, Law
____
► Référence complète : M.-A. Frison-Roche, "Fonder la compliance", in Revue de l'ACE, La compliance, n° spéc. n°157, septembre 2022, p.17-31.
____
► Résumé de l'article : L'article traite le sujet en 20 étapes
- Pourquoi fonder les pratiques de compliance ? Pour des impératif pratiques
- Fonder les pratiques de compliance pour rendre supportables, car compréhensibles, les pouvoirs et les charges concentrés dans les outils de Compliance
- Fonder les pratiques de compliance pour maîtriser un savoir technique exponentiel
- Fonder les pratiques pour y trouver la part du Droit
- Fonder la Compliance sur les process d’efficacité
- Rendre supportable la Compliance fondée sur les process d’efficacité par un mix de procédure et d’éthique
- Les professionnels de la Compliance fondée sur des process
- La place particulière de l’avocat et du juge dans la Compliance fondée sur des process
- Fonder la Compliance sur l’obligation de donner à voir par avance que l’on se conforme à la réglementation applicable
- L’aporie de la Compliance fondée sur l’obligation de donner à voir par avance que l’on se conforme à la réglementation applicable
- Les charges engendrées de la Compliance fondée sur l’obligation de donner à voir par avance que l’on se conforme à la réglementation applicable
- L’impraticabilité de la Compliance fondée sur l’obligation de donner à voir par avance que l’on se conforme à la réglementation applicable
- Fonder la Compliance sur des buts substantiels ponctuels
- Les professionnels de la Compliance impliquées par la Compliance fondée sur des buts substantiels ponctuels
- Fonder la Compliance par des buts substantiels globaux et à venir
- Fonder la Compliance par les Buts Monumentaux, négatifs et positifs
- Les professionnels de la Compliance fondée sur les Buts Monumentaux
- La place particulière de la population concernée et de l'Etat dans la Compliance fondée sur les Buts Monumentaux
- La place particulière de l’avocat et du juge dans la Compliance fondée sur les Buts Monumentaux
- L'avenir du Droit de l'Avenir
____
____
____
lire la revue dans son intégralité
_________