Compliance and Regulation Law bilingual Dictionnary
In principle, the very mechanism of the market is governed by freedom, the freedoms of the agents themselves - the freedom to undertake and contract - and the competitive freedom that marks the market itself, the convergence of these freedoms allowing the self-regulated functioning of The "market law", namely the massive encounter of offers and demands that generates the right price ("fair price").
But in the case of financial markets, which are regulated markets, "market abuses" are sanctioned at the very heart of regulation. Indeed, the regulation of the financial markets presupposes that the information is distributed there for the benefit of investors, or even other stakeholders, possibly information not exclusively financial. This integrity of the financial markets which, beyond the integrity of information, must achieve transparency, justifies that information is fully and equally shared. That is why those who hold or must hold information that is not shared by others (privileged information) must not use it in the market until they have made it public. Similarly, they should not send bad information to the market. Neither should they manipulate stock market prices.
These sanctions were essentially conceived by the American financial theory, concretized by the American courts, then taken back in Europe. To the extent that they sanction both reproachable behavior and constitute a public policy instrument of direction and protection of markets, the question of cumulation of criminal law and administrative repressive law can only be posed with difficulty in Europe.
Feb. 8, 2024
Thesaurus : Doctrine
► Référence complète : Th. Baudesson, "L'évolution des rapports entre avocats et autorités de poursuites avec la CJIP", in M.-A. Frison-Roche et M. Boissavy (dir.), Compliance et droits de la défense. Enquête interne – CJIP – CRPC, Journal of Regulation & Compliance (JoRC) et Dalloz, coll. "Régulations & Compliance", 2024, sous presse.
____
📕consulter une présentation générale de l'ouvrage, Compliance et droits de la défense. Enquête interne – CJIP – CRPC, dans lequel cet article est publié
____
► Résumé de la contribution (résumé fait par le Journal of Regulation & Compliance - JoRC) : L''auteur estime que la CJIP, évolution la plus marquante de la procédure pénale, fait dialoguer le Barreau et les autorités de poursuite, qui passent d'une logique de confrontation à la coopération. Il s'agit d'une relation d'un type nouveau. Le Procureur concerné est avant tout le PNF qui bénéficie d'une expertise en la matière qu'il diffuse par sa soft law et apporte plus de sécurité aux entreprises.
Il illustre ses propos notamment par la CJIP dite Airbus dans laquelle il y eut confrontation avec les pratiques anglaises et américaines dans des "enquêtes de coopérations" qui requièrent une confiance réciproque. Mais il reconnaît les progrès qui restent à faire, aussi bien du côté des avocats qui en France semblent demeurer comme par principe en opposition aux magistrats et peu sensibles à ce qui pourrait être leur rôle dans la recherche de la vérité, que du côté des magistrats qui semblent percevoir les avocats comme des sortes de "mercenaires" dont il faudrait par principe se méfier. C'est pour cela que dans leur guide sur les enquêtes internes l'AFA et le PNF demandent que l'avocat qui mène l'enquête et celui qui assure la défense pénale de l'entreprise ne puisse pas être le même, ce que l'auteur explique par cette défiance, présumant des enquêtes de complaisance, suspicion de principe que l'auteur regrette. De la même façon, le refus des magistrats de reconnaître le secret professionnel couvrant le rapport d'enquête paraît à l'auteur archaïque par rapport aux conceptions anglo-saxonnes, car le DOJ comme le SFO admettent aisément le legal privilege attaché à ce rapport. De ce fait, la France ne serait pas au même niveau d'État de Droit que les États-Unis et le Royaume-Uni.
L'auteur en conclut que des progrès restent donc à faire pour que la France achève son évolution pour devenir pleinement attractive pour que des entreprises qui, confrontées à des pratiques répréhensibles, soient effectivement menées à entreprendre une démarche d'auto-révélation.
____
🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche
________
Nov. 9, 2023
Publications
🌐follow Marie-Anne Frison-Roche on LinkedIn
🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law
____
► Full Reference: M.-A. Frison-Roche, "La compliance, socle de la confidentialité nécessaire des avis juridiques élaborés en entreprise" ("Compliance, the cornerstone of the confidentiality required for in-house legal opinions"), D. 2023, p.
____
📝read the article (in French)
____
► English Summary of the article:
________
Sept. 28, 2023
Thesaurus : Doctrine
► Référence complète : B. François, "La communication renouvelée: du reporting financier au reporting de durabilité", in F. Barrière et M. Zolomian (dir.), Le droit des sociétés saisi par le climat, JCP E, n° 39, 28 septembre 2023, pp. 27-34.
____
► Résumé de l'article (fait par l'auteur) : "Les entreprises sont aujourd’hui encouragées à aller au-delà de la publication statique d’informations environnementales, sociales et de gouvernance (ESG) en indiquant de manière dynamique où elles se situent sur cette trajectoire de la transition écologique et comment elles comptent progresser sur le court et le moyen termes avec l’ensemble de leurs parties prenantes. Par ailleurs, ces dernières, se méfiant de toute tentation d’éco- blanchiment (greenwashing) ou de blanchiment sociétal (corporate washing) de la part des entreprises, sont désireuses d’obtenir d’elles des informations fiables. Il s’ensuit une communication renouvelée.".
____
🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche
_________
Sept. 7, 2023
Publications
🌐follow Marie-Anne Frison-Roche on LinkedIn
🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law
____
► Full Reference: M.-A. Frison-Roche & Arnoldo Wald, "Le cas Petrobras, une juste adéquation de la responsabilité pour protéger les personnes impliquées dans des systèmes globaux" ("The Petrobras case: the right balance of responsibility to protect those involved in global systems"), RIDC, July-September 2023, No. 3, pp. 563-582.
____
► Summary of the article: This article briefly outlines the main aspects of corporate liability in the capital market under Brazilian law, arising from the company’s duty to inform shareholders and investors, followed by a commentary on the recent partial award in an arbitration brought by minority shareholders against Petrobras, which underlines the legitimacy of the minority shareholders to engage the company’s liability.
________
March 15, 2023
Thesaurus : Doctrine
► Full Reference: J.-Ch. Roda, "Compliance, Internal Investigations and International Competitiveness: What are Risks for the French Companies (in the Light of Antitrust Law)?", in M.-A. Frison-Roche (ed.), Compliance Monumental Goals, coll. "Compliance & Regulation", Journal of Regulation & Compliance (JoRC) and Bruylant, 2023, p. 355-368.
____
📘read a general presentation of the book, Compliance Monumental Goals, in which this article is published.
____
► Summary of the article:
________
Jan. 12, 2023
Thesaurus : 05. CJCE - CJUE
Référence complète : CJUE, 1ière ch., 12 janv. 2023, RW c. Österreichische Post AG, C-154/21.
____
_____
Fiche de l'arrêt : Dans un contentieux entre un particulier et une entreprise postale (RW c. Österreichische Post AG, la Cour suprême de l'Autriche a décidé le 18 février 2021 de saisir la CJUE d'une question préjudicielle sur le sens à donner au "droit d'accès de la personne concernée à ses données" (article 15 RGPD) : jusqu'où doivent aller les informations à lui communiquer sur les destinataires ou catégories de destinataires auxquelles ces informations sont communiquées par celui qui recueille ces informations.
considérant les observations présentées :
– pour RW, par Me R. Haupt, Rechtsanwalt,
– pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,
– pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,
– pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,
– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,
– pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,
– pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,
– pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,
– pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.
Le cadre juridique
3 Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :
« (4) [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]
[...]
(9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]
[...]
(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]
[...]
(63) Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]
[...]
(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »
4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :
« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »
5 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
6 L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :
« 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
[...]
5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou
b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
[...] »
7 L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :
« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[...]
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]
[...] »
8 L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :
« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
[...]
e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
[...] »
9 Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
a) les finalités du traitement ;
b) les catégories de données à caractère personnel concernées ;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
f) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »
10 L’article 16 du RGPD, intitulé « Droit de rectification », dispose :
« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »
11 Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
[...] »
12 L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :
« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
[...] »
13 L’article 19 du RGPD est ainsi libellé :
« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »
14 Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :
« 1. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.
3. Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
4. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.
5. Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
6. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »
15 L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
16 L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :
« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
Le litige au principal et la question préjudicielle
17 Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.
18 En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.
19 RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.
20 Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.
21 Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.
22 RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.
23 Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.
24 Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.
25 En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.
26 Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.
27 Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »
Sur la question préjudicielle
28 Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.
29 À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).
30 S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.
31 À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.
32 Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.
33 Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.
34 En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).
35 Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.
36 En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.
37 En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).
38 En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).
39 Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.
40 Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.
41 Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.
42 Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.
43 Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.
44 Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).
45 Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.
46 Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.
47 Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).
48 Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.
49 En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.
50 En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.
51 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Sur les dépens
52 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Signatures
* Langue de procédure : l’allemand.
ARRÊT DE LA COUR (première chambre)
12 janvier 2023 (*)
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 15, paragraphe 1, sous c) – Droit d’accès de la personne concernée à ses données – Informations sur les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées – Limitations »
Dans l’affaire C‑154/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Oberster Gerichtshof (Cour suprême, Autriche), par décision du 18 février 2021, parvenue à la Cour le 9 mars 2021, dans la procédure
RW
contre
Österreichische Post AG,
LA COUR (première chambre),
composée de M. A. Arabadjiev, président de chambre, M. L. Bay Larsen, vice‑président de la Cour, faisant fonction de juge de la première chambre, MM. P. G. Xuereb, A. Kumin et Mme I. Ziemele (rapporteure), juges,
avocat général : M. G. Pitruzzella,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour RW, par Me R. Haupt, Rechtsanwalt,
– pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,
– pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,
– pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,
– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,
– pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,
– pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,
– pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,
– pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.
Le cadre juridique
3 Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :
« (4) [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]
[...]
(9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]
[...]
(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]
[...]
(63) Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]
[...]
(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »
4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :
« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »
5 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
6 L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :
« 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
[...]
5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou
b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
[...] »
7 L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :
« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[...]
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]
[...] »
8 L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :
« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
[...]
e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
[...] »
9 Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
a) les finalités du traitement ;
b) les catégories de données à caractère personnel concernées ;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
f) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »
10 L’article 16 du RGPD, intitulé « Droit de rectification », dispose :
« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »
11 Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
[...] »
12 L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :
« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
[...] »
13 L’article 19 du RGPD est ainsi libellé :
« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »
14 Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :
« 1. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.
3. Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
4. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.
5. Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
6. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »
15 L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
16 L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :
« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
Le litige au principal et la question préjudicielle
17 Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.
18 En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.
19 RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.
20 Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.
21 Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.
22 RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.
23 Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.
24 Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.
25 En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.
26 Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.
27 Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »
Sur la question préjudicielle
28 Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.
29 À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).
30 S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.
31 À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.
32 Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.
33 Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.
34 En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).
35 Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.
36 En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.
37 En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).
38 En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).
39 Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.
40 Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.
41 Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.
42 Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.
43 Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.
44 Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).
45 Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.
46 Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.
47 Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).
48 Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.
49 En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.
50 En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.
51 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Sur les dépens
52 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Signatures
* Langue de procédure : l’allemand.
Jan. 1, 2023
Thesaurus : Doctrine
► Référence complète : W. Feugère, "Les suites des alertes : observations sur les enquêtes internes", in W. Feugère (dir.), Le nouveau régime des dispositifs d’alerte en France : comment conjuguer conformité et efficacité, Cahiers de droit de l'entreprise (CDE), n° 1, janvier-février 2023, pp. 49-52.
____
►Résumé de l'article (fait par l'auteur) : "L’analyse du droit des alertes ne peut se concevoir que dans celle des enquêtes, qui en sont la suite incontournable. L’alerte est une information brute : elle doit être analysée, au-delà de sa seule recevabilité. Quels sont les faits exacts ? Quelle en est l’ampleur ? Quels en sont les enjeux et les impacts, les responsabilités ? Enfin, et surtout, qu’en conclure, que décider ? Une information doit donner lieu à réflexion et à une décision. L’enquête a précisément cet objectif : mettre en mesure les managers de décider.".
____
🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche
________
Dec. 15, 2022
Thesaurus : Doctrine
► Référence complète : P. Larouche, "Pluralisme et multivalence en analyse économique du droit", Revue de droit d'Assas, n°24, déc. 2022, p.126-129.
----
► Résumé de l'article : L'auteur montre que l'on a parfois une vision déformée de l'Analyse économique du Droit. Après avoir souligné que l'interdisciplinarité débute souvent par une "phase de déception initiative", il rappelle les profits de celle-ci à condition que chaque discipline respecte l'autre.
Or, dans l'analyse économique du droit, chacun s'est souvent bloqué, l'on en reste souvent au premier stade.
Sans doute, parce que ce mouvement né aux Etats-Unis il y a 60 ans, participait alors au mouvement de l'époque visant à faire de l'économie "une science à part entière à l'instar des sciences naturelles", mais ne prétendait pas décrire le monde ni constituer un système de preuves.
Ce n'est que plus tard que la "théorie du coût social" de Coase (1960) a été perçue comme pouvant s'appliquer à tout, ce que l'auteur ne prétendait pas.
Ce n'est qu'en 1970 que Posner y associe ce qui serait une supériorité du Common Law, le courant Law and Economics étant rejeté par les non anglo-américains.
Mais ce double lien entre la conception très libérale de 1960 et très culturelle de 1970 n'est pas intrinsèque à l'AED.
En outre, pour Coase, les coûts de transactions sont faibles, parce qu'ils sont engendrés par le système juridique lui-même. Aujourd'hui, on admet au contraire qu'ils sont élevés parce qu'ils constituent par l'ensemble du système juridique, l'AED intégrant le pluralisme juridique.
Dès lors, le Droit reprend face à l'Economie à la façon sa spécificité et son ampleur.
L'AED ne peut plus aussi facilement que dans la conception précédente en tirer des conséquences normatives, où la réglementation américaine semblait pouvoir engendrer des solutions applicables partout parce qu'enrichie par l'analyse économique.
Corrélativement, le Droit doit moins rejeter l'analyse économique, dès l'instant que ce qu'est le Droit y est respecté, notamment l'économie de l'information.
________
Dec. 14, 2022
Thesaurus : 06.1. Textes de l'Union Européenne
► Full reference: Directive (EU) 2022/2464 of the European Parliament and of the Council, of 14 december 2022, amending Regulation (EU) n° 537/2014, Directive 2004/109/EC, Directive 2006/43/EC and Directive 2013/34/EU, as regards corporate sustainability reporting (called "CSRD" (Corporate Sustainability Reporting Directive)).
____
________
Sept. 1, 2022
Thesaurus : Doctrine
► Full Reference: J.-Ch. Roda, "Compliance, enquêtes internes et compétitivité internationale : quels risques pour les entreprises françaises (à la lumière du droit antitrust) ?" ("Compliance, internal investigations and international competitiveness: what are risks for the French companies (in the light of Antitrust Law)?"), in M.-A. Frison-Roche (ed.), Les Buts Monumentaux de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2022, p. 367-380.
____
📕read a general presentation of the book, Les Buts Monumentaux de la Compliance, in which this article is published
____
► Summary of the article (done by the Journal of Regulation & Compliance): The author draws on American and European Competition Law to measure whether internal investigations, as far as they provide factual elements, can provide foreign authorities and competitors, here American, with "sensitive information" (notably via leniency programs), and as such constitute a competitive handicap. But this turns out to be quite difficult, whereas compliance audits, for example under the legal duty of vigilance, can provide American litigants with useful information, drawn from internal documents, in particular the reports of compliance officers, which can be captured by the procedures of discovery.
French law remains weak face of these dangers, due to its refusal to recognize the legal privilege mechanism concerning these internal documents, contrary to the American Law and the consequent effectiveness of discovery in international procedures, concerning internal documents, in particular resulting from internal investigations. Solutions have been proposed, the activation of a new conception of blocking laws being complex, the prospect of adopting a legal privilege being more effective, but there would remain the hypothesis of an international conflict of privilege, American Law having a strict design of legal advice justifying it and judges checking that powerful companies do not use it artificially.
________
July 1, 2022
Conferences
♾️follow Marie-Anne Frison-Roche on LinkedIn
♾️subscribe to the Newsletter MAFR Regulation, Compliance, Law
____
► Full Reference: M.-A. Frison-Roche, "Compliance, Artificial Intelligence and Business Management: the right measure" ("Compliance, Intelligence artificielle et gestion des entreprises : la juste mesure"), participation to the Conference coordinated by Mustapha Mekki, L'intelligence artificielle et la gestion des entreprises. July 1st, 2022.
____
🎥 see the conference (in French)
____
consult the slides having been used as brief notes for deliver the lecture (inf French)
____
🚧read the bilingual Working Paper having been used as basis for this conference
____
📝This work will be the basis for an article.
____
► Summary of the Lecture: Of the next European Regulation on artificial intelligence, the European Commission has a quite neutral conception of AI for obtaining a consensus between the Member States, while the Regulators and certain States have a more substantial conception of technology, wanting its power to be used to protect people, firstly from these new tools themselves, secondly from what is an amplification of the evils of the classic world, such as hate or misinformation. This is the reflection of two conceptions of Compliance.
Firstly, Compliance can be defined as neutral processes that increase the effectiveness of what would be the obligation for companies or their desire for efficient risk management (in particular the consideration of "legal risks") to prove being "conform" to all regulations that are applicable to itself and all persons to whom the firm is accountable. This is often referred to as the "compliance obligation" or "obligation of conformity".
This conception implies considerable practical consequences for the company which, in order to succeed in this "total exploit", would then have to resort to artificial intelligence tools constituting a "total and infallible solution", which mechanically generate for it the obligation to "know " all the "regulatory mass", to detect all "non-compliances", to conceive its relationship to the Law in terms of "risk of non-compliance", fully supported by Compliance by Design which could, without human intervention , eliminate legal risk and ensure "compliance total efficiency" in Ex Ante.
The "legal price" of this technological dream is extremely high because all the "regulatory" requirements will then be transformed into obligations of result, any failure generating liability. The Compliance probationary system will become overwhelming for the company, both in terms of burden of proof, means of proof, and transfers, without exemption from proof. Objective responsibilities for others will multiply. The "law of conformity" will multiply Ex Ante systemic penalties, the border with criminal law being less and less preserved.
It is essential to avoid this, both for businesses and for the Rule of Law. For this, we must use Artificial Intelligence to its proper extent: it may constitute a "massive aid", without ever claiming to be a total and infallible solution, because it is the human who must be at the center of the compliance system functioning thank to the firms and not the machinery.
For this, it is necessary to adopt a substantial conception of Compliance Law (and not a sort of Conformity Law or Obedience Law). It does not at all cover all the applicable regulations and it is not at all "neutral", being in no way a series of processes. This new branch of Law is substantially built on Monumental Goals. These are either of a negative nature (preventing a systemic crisis from happening, in many but specific perspectives: banking, financial, health, climate, etc.), or of a positive nature (building a better balance, in particular between human beings, in the company and beyond).
In this conception which appears more and more strongly, artificial intelligence finds its place, more modest. As Compliance Law is based on information, Artificial Intelligence is essential to capture it and make first connections, first stages for successive analyses, done by human beings, making what is essential: the commitment of the company, both by the leaders and by all those who are "embarked" by a "culture of Compliance" which is at both built and common.
This restores the required seal between Criminal Law and what can be asked of the mechanical use of Artificial Intelligence; this puts the obligation of means back as a principle. This restores the principal place to the lawyer and the compliance officer, so that the culture of compliance is articulated with the specificities of a sector and the identity of the company itself. Indeed, the culture of compliance being inseparable from a culture of values, Compliance by design requires a dual technique, both mathematical and legal culture. It is why European Compliance Law, because it is rooted in the European humanist tradition, is a model.
________
For further:
📘Frison-Roche, M.-A. (ed.), Compliance Monumental Goals, 2022
📘Frison-Roche, M.-A. (ed.), Compliance Jurisdictionalisation, 2022
📘Frison-Roche, M.-A. (ed.), Compliance Tools, 2021
📓Frison-Roche, M.-A., L'apport du Droit de la Compliance à la Gouvernance d'Internet, 2019
📕Frison-Roche, M.-A. (ed.), Pour une Europe de la Compliance, 2019
📕Frison-Roche, M.-A. (ed.), Régulation, Supervision, Compliance, 2017
📕 Frison-Roche, M.-A. (ed.), Internet, espace d'interrégulation, 2016
📝 Frison-Roche, M.-A., Compliance Monumental Goals, beating heart of Compliance law, 2022,
📝 Frison-Roche, M.-A., Role and Place of Companies in the Creation and Effectiveness of Compliance Law in Crisis, 2022
📝 Frison-Roche, M.-A., Assessment of Whistleblowing, and the duty of Vigilance, 2022
📝Frison-Roche, M.-A., Drawing up Risk Maps as an obligation and the paradox of he "compliance risks", 2021
__________
Feb. 15, 2022
Compliance: at the moment
Updated: Feb. 5, 2022 (Initial publication: Oct. 10, 2021)
Publications
► Full Reference: Frison-Roche, M.-A., Duty of Vigilance, Whistleblowing and International Competitiveness, Working Paper, September 2021.
____
🎤 this Working Paper is the basis for a conference , in the colloquium Effectiveness of Compliance and International Competitiveness, co-organised by the Journal of Regulation & Compliance (JoRC) and the Center for Law and Economics of the Panthéon-Assas University (Paris II), November 4, 2021
____
📝this Working Paper is also the basis for an article. This article is to be published ⤵
in its French version in the book 📕Les buts monumentaux de la Compliance, in the series 📚Régulations & Compliance
in its English version in the book 📘Compliance Monumental Goals, in the series la collection 📚Compliance & Regulation
____
► Working Paper Summary: The "Compliance Tools" are very diverse. If it has been chosen to study more particularly among these the obligation of vigilance and the whistleblower, these rather than others and to study them together, it is because they present in the perspective of the specific topic chosen, namely "international competitiveness", and for companies, and for economic zones considered, and for legal system inseparable from them, a uniqueness: these are mechanisms which release Information.
By order of the law, the company will not only stop ignoring what it covered with the handkerchief that Tartuffe held out to it or that a conception of Company Law legitimately allowed it to ignore. This article does not examine if this revolution made by Compliance Law expresses in the legal system is on the one hand legitimate and on the other hand effective: the article measures what is happening at the regard to "international competitiveness".
Compliance Law is therefore be examined here through its instruments, and not in relation to its normativity. In fact, its instruments are intended to provide Information and to make this information available, in its presentation, in its intelligibility and in the hands of those who are able to use Information in perspective of the Compliance Monumental Goals, achieving them.
Regarding this central notion of Information, international competitiveness will be more particularly concerned because Compliance Law will oblige the company itself to seek out, then expose to everyone's eyes, in particular its competitors, its weaknesses, its projects, its alliances, its flaws. This does not pose a problem if its competitors themselves are often subject to this new branch of Law, which goes far beyond transparency, which is already a new mechanism because a company is not a transparent organization and Competition Law that governs ordinary businesses never required this. But if they are not subject to this incredibly special branch of Law that is Compliance Law, then there is a distortion of competitiveness by the very fact of the Law.
It is possible to pretend that the markets like virtue, that they give it credit because they are themselves based on the idea of "promise", which is ultimately based on a moral concept, but this provision of Information to others, while others remain opaque, is a major problem of competitiveness, which the legal requirement of "loyal commercial practices" only very partially considers.
Therefore, it is necessary to first examine what is the economic and financial power of the information captured by the company on itself thank to Compliance Law making available to all but firstly to the compagny itself through the whistblowing mechanism, organised by the laws, differently in the US and Europe (I). Compliance Law also obliges companies to be accountable not only for what they do but also for what others do for them. Through the obligation of Vigilance, objective Ex Ante obligation and duty, the company obtains a power of Information on others which could well resolve what is often presented as the dispute aporetic of the extraterritoriality of Compliance Law, thus making accountable companies hitherto protected by their "preserved" legal system and thereby affected by the effectiveness of Compliance Law (II).
____
read below the developments
Jan. 20, 2022
Thesaurus : Doctrine
Dec. 3, 2021
Conferences
► Référence complète: Frison-Roche, M.A., La protection des lanceurs d'alerte et le Droit de la Compliance, Université d'Orléans, 3 décembre 2021.
____
📅 Lire le programme de ce colloque
____
► Consulter les slides de la conférence
► Présentation de la conférence : La transposition en Droit français de la Directive européenne du 23 octobre 2019 sur la protection des personnes qui signalent des violations du Droit de l'Union ne révolutionne en rien le dispositif tel qu'il a été conçu par la loi dite "Sapin 2". Soit parce que celle-ci, qui avait consacré un chapitre complet au personnage, saisi non pas en tant que tel mais à travers sa protection, avait donc anticipé le texte européen, la Loi n'ayant donc plus rien à achever. Le titre reste d'ailleurs presque le même que celui du chapitre de la loi dite "Sapin 2 : Proposition de loi visant à améliorer la protection des lanceurs d'alerte, avec une proposition de loi organique concernant l'office accru du Défenseur des droits.
Cette sorte d'appréciation en marge de la copie de la précédente loi ("c'est bien, mais peu mieux faire"....) écarte tout vrai changement. Soit parce que s'il y avait eu quelque chose à changer, ce n'était pas tant concernant la protection du lanceur d'alerte que plutôt de ce qui avait été suggéré par beaucoup 📎
En effet, décidemment le singulier sied si peu à ce personnage qu'il faille toujours parler "des lanceurs d'alerte" et non pas du lanceur d'alerte 📎
Dans un Droit de la Compliance, entièrement construit sur les Buts, cela est particulièrement troublant.
En effet, il est acquis que, de la même façon que la cartographie des risques est l'élément objectif du Droit de la Compliance, le lanceur d'alerte est son élément subjectif : le personnage qui est là pour faire sortir de l'information.
En cela le Droit de la Compliance est le prolongement du Droit de la Régulation, lequel lutte contre l'asymétrie d'information (ce qui n'est pas l'objet du Droit de la Concurrence). Le Droit de la Compliance est d'autant plus un Droit centré sur l'information que c'est ainsi qu'il peut atteindre les Buts Monumentaux pour lesquels tous ces instruments, objectifs et subjectifs, sont institués, et dans lesquels sa normativité réside. Ainsi l'entreprise détecte l'information, rassemble l'information, diffuse l'information, etc.
Elle la fait circuler à l'intérieur, elle invite les parties prenantes extérieures à y participer, elle communique des informations internes à des agents externes de légalité. Elle le fait parce qu'elle y est contrainte, le Droit de la Compliance étant empreint d'ordre public de direction, puisque c'est pour la prévention des crises systémiques globales que ce système contraignant s'abat sur les "opérateurs cruciaux", entreprises en position de concrétiser ces buts. Ce n'est que par surabondance que leur raison d'être ou leur responsabilité sociétale peuvent venir reprendre à leur charge ces directives formulées par les Autorités publiques qui les supervisent.
Le lanceur d'alerte est donc celui qui va dans une entreprise, soit rétive, soit incapable, extraire ou transmettre une information, soit à la bonne source, soit au bon destinataire, soit lui appliquer le bon traitement. Il est donc essentiel au traitement de l'information pour que le But Monumental soit rempli.
Le lancement d'alerte au sein de Facebook est particulièrement illustratif de cela. Puisque c'est au sein de l'opérateur crucial obligé par le Droit de lutter contre la désinformation et les discours de haine que l'information apparait donc comme quoi l'entreprise ne l'a pas forcément comme premier souci. La discussion semble s'engager pour savoir si, d'une part, cela est normal ou pas et si, d'autre part, la lanceuse d'alerte est animée ou non de "bons sentiments".
Mais revenons sur le texte européen et sa transposition, par rapport à l'esprit de ce qu'est le Droit de la Compliance, notamment conçu aux États-Unis en Droit financier. La loi dite "Sapin 2" avait posé que le lanceur d'alerte doit être "désintéressé" et agir de bonne foi. Il avait été suggéré que cette exigence de désintéressement soit supprimée et la seule exigence de bonne foi, par ailleurs présumée, maintenue. Mais la conception moralisatrice du lanceur d'alerte continue de prévaloir : il y a donc deux catégories, le lanceur d'alerte qui agit par amour du Droit, du Juste et du Bon (et qu'on aime) et le chasseur de prime qui agit par amour de l'argent ou par haine de celui qu'il dénonce (et que l'on n'aime pas). Voilà donc notre pluriel explicité...
La Securities and Exchange Commission - SEC , autorité fédérale américaine des marchés financiers n'aime pas particulièrement ceux que l'on n'aime pas, les méchants haineux rapaces, mais elle lutte contre l'asymétrie d'information et c'est pour lutter contre les abus de marché dont la source même est à l'intérieur des entreprises, ce qui causa la crise de 1929 puis la Seconde Guerre Mondiale qu'elle fut elle-même instituée : chaque année, un de ses départements, qui a pour titre ..., fait le classement des récompenses attribuées aux whistleblowers , en mettant en premier celui qui a gagné le plus en lui apportant l'information d'un abus de marché, ce qui prévient une crise systémique financière. Car pour le Régulateur financier, il ne fait pas de doute que le lanceur d'alerte est un agent de la légalité qui doit servir à prévenir les crises systémiques, et doit être incité à la saisir, et à la saisir directement.
Le Législateur français reste au milieu du gué. Pour l'instant, il change la formulation mais pas trop. Il faudrait simplement que le lanceur d'alerte ne reçoive pas de "contrepartie financière directe". Ainsi l'amour de la Loi ou du prochain ("désintéressement") ne serait plus requis. S'il n'y a plus d'argent, la haine pour l'entreprise, le ressentiment, cette triste passion si bien dénoncée par Rousseau serait donc autorisée. C'est vrai, c'est souvent cela qui anime la personne qui lance l'alerte. Tandis que le filtre consistant à l'obliger à saisir l'entreprise même que par un "acte citoyen" (expression utilisée par la proposition de loi) est conservé, la proposition de loi organique accroissant un peu l'aide apportée par le Défenseur des droits.
Donc, le pas n'a pas été franchi. Parce qu'on continue à ne pas admettre ce qu'est le prix de l'information. Ce sont donc de toutes petites améliorations que le prochain état du Droit va apporter.
Après avoir ainsi examiné la réforme qui n'a pas eu lieu et qui aurait tiré conséquence de l'articulation du statut du lanceur d'alerte avec le Droit de la Compliance, en tant que celui-ci est un Droit de l'information pertinente pour atteindre des Buts Monumentaux (I), il est donc possible d'examiner la petite réforme qui va avoir lieu sans se soucier de l'information pertinente et en améliorer un peu deci delà les lanceurs d'alerte, dont la définition est un peu élargie, dans les relais externes dont ils bénéficient sans que cela ne brise leur obligation d'en parler d'abord à l'intérieur ce qui ôte la dimension directement systémique à leur action, dans l'aide financière dont ils ont soudainement le bénéfice quand à la fin des fins l'entreprise agit contre eux "en représailles" (II).
Il ne me semble pas que pour l'instant, dans un système juridique national qui sera peu changé, le lanceur d'alerte soit un personnage ni très efficace ni très choyé par le Droit français.
____
V. par exemple Frison-Roche, M.-A., 🏛️ Evaluation de la loi dite "Sapin 2" au regard d'une Europe de la Compliance, Audition par la mission d'évaluation de la loi dite Sapin 2", février 2021.
Ayant abouti à un rapport parlementaire du 7 juillet 2021.
Sur cette observation, Frison-Roche, M.-A., 📝L'impossibilité unicité de la catégorie des lanceurs d'alerte, 2020.
Oct. 5, 2021
Compliance: at the moment
March 30, 2021
Thesaurus : Doctrine
Full reference: Luguri, J. and Strahilevitz, L. J., Shining a Light on Dark Patterns, Journal of Legal Analysis, Vol. 13, Issue 1, 2021, 67p.
Sciences Po's students can read this article via Sciences Po's Drive in the folder MAFR - Regulation & Compliance.
Aug. 25, 2020
Newsletter MAFR - Law, Compliance, Regulation
Full reference: Frison-Roche, M.-A., The always in expansion "Right to be Forgotten": a legitimate Oxymore in Compliance Law built on Information. Example of Cancer Survivors Protection, Newsletter MAFR - Law, Compliance, Regulation, 25th of August 2020
Read by freely subscribing other news of the Newsletter MAFR - Law, Compliance, Regulation
Summary of the news
The "right to be forgotten" is an invention of the Court of Justice of the European Union during the case Google Spain in 2014. It implies that digital firms block the access to personal data of someone who asks it. This "right to be forgotten", which permits to impose secret to third parties has largely been generalized by GDPR in 2016. This new fundamental subjective right is a very political and European right. United-States which, on the contrary of Europe, did not experience nazism, links the "right to be forgotten" to the protection of consumer, conception which especially leads California Consumer Privacy Act adopted in 2018 to link this right to a situation of absence of necessity of this data for the firm which obtained it.
In Europe, this willingness to protect directly the person increases the scope of such a subjective right. Thus, in France and in Luxembourg, since 2020, a cancer survivor can thus ask that such an information is not accessible among his or her health data, especially for insurance companies which use them in their risk calculus to set premium amount. Netherlands will do the same in 2021 to fight against discrimination between banks' and insurances' clients.
The "monumental goal" is therefore not so much here the protection of individual freedoms as the protection of the vulnerable person, which is bye the way the keystone of a Compliance Law, concealing sometimes prohibition to circulate information (as here) and sometimes obligation to circulate information (in other cases, where the alert must be given) depending on whether vulnerable people are protected either by one or by the other.
May 28, 2020
Publications
Full reference: Frison-Roche, M.-A., L'impossible unicité juridique de la catégorie des "lanceurs d'alertes" ("The impossible legal unicity of the category of "whistleblowers""), in Chacornac, J. (dir.), Lanceurs d'alertes, regards comparatistes, ("Whistleblowers, comparative perspectives"), Publications of the Centre français de droit comparé ("French Comparative Law Center"), May 2020, Volume 21, p.13-31.
Read the article (in French).
Read the general presentation of the collective book in which this article is published
Read the bilingual working paper which had served of basis for this article.
Read the presentation of the conference "Les lanceurs d'alertes: glose" (Whistleblowers: glose") and especially the slides elabored for the colloquium organized by the Centre français de droit comparé ("French Comparative Law Center") on 23th of November 2018 under the direction of Jérôme Chacornac
____
Introduction of the article
"Whistleblowers". This is a new expression. Which is a great success. Barely heard once, we hear it everywhere ...
A topic not of course or knowledge test, but rather a topic of daily conversation. Because it is spoken to us every day, in more or less gracious terms. For example President Donald Trump on October 1, 2019 declared to the press "want to question" the whistleblower who would have illegally denounced him and would not, according to him, have the right to conceal his identity, proof in this according to him of the lying character of his assertions against him, while his lawyer indicates on October 6, 2019 that he is not speaking on behalf of a single whistleblower thus taken to task but of a plurality of people who gave information against the President of the United States. Even the most imaginative screenwriters would not have written such brutal and rapid twists and turns. Spectators, we are waiting for the next episode, secretly hoping for the escalation.
And precisely if we go to the cinema, it is still a whistleblower whose dedication and success, we are told about, even the drama, for the benefit of global society, and in particular democracy, since the secrets are fought for the benefit of the truth. The Secret Man designates Mark Felt as the first whistleblower. Returning to what we often present as being a more "serious" media!footnote-1391, we listen to France-Culture and here is another story told by a historian who worked as an archivist on events that political power would have liked to keep hidden by possibly destroying their traces but which its trade led to preserve: here it is expressly presented to the studious listeners like a "whistleblower" .... While the same radio tries to find the one who could well be, as in a kind of contest the "first whistleblower"!footnote-1727? .... This rewriting of History can be defended because ultimately what did other Voltaire do for Calas, or Zola for Dreyfus?
It is also a subject of legislative discussion since in the United States the Dodd-Frank law of 2010 inserted in the law of 1934 which established the Securities & Exchanges Commission a complete device of remuneration and remuneration of the whistleblowers, whereas after having developed flexible but guiding lines in this regard in 2012!footnote-1698, the European Commission published on November 20, 2018 the text of what will become a Directive intended to give a unified European status to the character, in the system gradually developed to protect the one who was presented in 2018 as that "cannot be punished for having done what is right".
In Europe, the Directive first approved by a Resolution of the European Parliament on April 16, 2019 on the protection of persons denouncing breaches of Union Law and then adopted on October 7, 2019 (Directive of the European Parliament and of the Council of European Union on the Protection of Persons who Report Violations of European Union Law, different title, it should be noted, will have to be transposed into the laws of the Member States within the next two years. , since only "violations of Union Law" are targeted, but the character of the "whistleblower" is more generally targeted: he is "whole"!footnote-1699.
In short, the whistleblower is a star!footnote-1390. A sort of historical figure, covered in blows and glory, going from Voltaire to Snowden, both of whom find themselves embodied on the screens!footnote-1681 ....,
Consecrated by law, which associates with it a legal regime of protection to such an extent that, like a Nessus tunic, it is this legal regime which will define the character and not the reverse. When we read the law of December 9, 2016 relating to transparency in the fight against corruption and the modernization of economic life, known as "Sapin 2", we notice that the Legislator makes much of this character, since 'he dedicates its chapter II to him!footnote-1682: "From the protection of whistleblowers", and that it is by his very protection that he formally opens the door of Right to him.
But why a plural? Admittedly when we read the recitals of the Community Directive of October 7, 2019 on the protection of whistleblowers!footnote-1702, it is only a list of all the subjects on which it is a good idea to protect them, which therefore prompts us to see in this plural only the index of this non-exhaustive list of subjects which it is good to tell us, a sign of the lack of definition of who should alert us. Reading the French law known as "Sapin 2" makes it less severe but more perplexing. Indeed, this plurality referred to by the title of the chapter devoted to "whistleblowers", there is no longer any question in the rest of the law, in the very definition which follows, article 6 which opens this chapter devoted to "whistleblowers" offering the reader immediately a singular since it begins as follows: "A!footnote-1684 whistleblower is a person ...". No mention of diversity. The art of legislative writing would however have required that the qualifying article not only be singular but that it should not yet be undefined. Stendhal if he had still deigned to have the law for bedside book would have wanted to find at the beginning of chapter a sentence like: "The!footnote-1683 whistleblower is a person ...".
Thus seem to contradict themselves within the law "Sapin 2 the very title which presents the character, in that it uses a defined plural (the) while the defining article which presents it is in the undefined singular (one). ...
Here is a first reason not to advance any more but in a very careful way, in this "step by step" that constitutes a reading word for word: a gloss. This consists of taking the expression itself literally. The second reason for this technical choice is that the gloss is well suited to the introduction of a collective work, thus allowing more targeted developments to take place in other contributions, on the techniques, the difficulties and the limits of this protection, or on its history, or the reasons for the arrival in French law of these whistleblowers and the way they develop, or not, elsewhere.
I am therefore going to content myself with taking this already legal expression to the letter: The (I) whistle (III). blowers (II).
Dec. 4, 2019
MAFR TV : MAFR TV - case
Regarder le film de 5 minutes sur le contenu, le sens et la portée de l'arrêt rendu par la première chambre civile de la Cour de cassation du 27 novembre 2019, M.X.A. c/ Google.
Cet arrêt casse l'arrêt de la Cour d'appel de Paris qui valide le non-déférencement, après que la CNIL a demandé l'interprétation des textes, notamment du RGPD, parce que le droit à l'oubli doit limiter l'exception ici invoquée, à savoir le droit à l'information, même s'il s'agit d'une décision pénale concernant un commissaire-aux-comptes, car il s'agit d'une affaire privée et non pas ce qui concerne l'exercice de sa profession réglementée coeur du système financier.
Oct. 26, 2019
Thesaurus : Doctrine
Référence complète : Dulong de Rosnay, M., La mise à disposition des œuvres et des informations sur les réseaux: Régulation juridique et régulation technique, sous la direction de Danièle Bourcier, Université Panthéon-Assas Paris II, 26 octobre 2017, 610 p.
Updated: Oct. 8, 2019 (Initial publication: Nov. 22, 2018)
Publications
This working paper served as a basis for a conference done in French for the Centre de droit comparé (Center for Comparative Law) in Paris on 23 November 2018.
Updated, it has served as a basis for an article published in French in a book of the Société de Législation comparé (Society of Comparative Legislation).
________
"The whistleblowers". This is a new expression. Which wins a full success. Barely heard once, we hear it everywhere ...
A theme not only of academic teaching, but rather a topic of daily conversation. Because it is every day that we speak about it, in terms more or less graceful. For example President Donald Trump on October 1, 2019 told the press he "wants to interrogate" the whistleblower who would have unlawfully denounced him and would not have, according to him, the right to conceal his own identity, evidence in this according Donald Trump of the false character of his assertions against him, while his lawyer indicates on October 6, 2019 that he does not speak on behalf of a single whistleblower thus taken apart but of a plurality people who gave information against the President of the United States. Even the most imaginative scriptwriters would not have written twists as abruptly or so fast. Spectators, we wait for the next episode, secretly hoping for climbs and slashs.
Precisely if we go to the cinema, it is still a whistleblower whose dedication and success, or even drama, we are told, for the benefit of the global society, and especially of Democracy, since the secrets are fought for the benefit of the truth. Thus, the movie The Secret Man designates Mark Felt as the first whistleblower. Returning to what is often presented as a more "serious" media, for example in France the radio "France Culture" we can learn the story of a historian who worked as an archivist on events that the political power would have wanted to keep hidden by possibly destroying their traces but that his profession led to preserve
It is also a topic of legislative debate since in the United States the Dodd-Frank Act of 2010 inserted in the 1934 law that established the Securities & Exchanges Commission (SEC) a complete system for retribution and remuneration of whistleblowers, while after elaborating guidelines about about in 2012
In Europe, the Directive first approved by a Resolution of the European Parliament on 16 April 2019 on protection of persons reporting breaches of Union law and then adopted on 7 October 2019 (Directive 2019/78 (EU) of the European Parliament European Union and the Council of the European Union on the Protection of Persons Reporting Breaches of Union law, will have to be transposed in the next two years to the legal systems of the Member States. is not general, since only "violations of European Union Law" are targeted but the character of the "whistleblower" is more generally referred to: it is "whole"
In short, the whistleblower is a star
Recognized by national legislations, which associate to him a legal regime of protection to such a point that, like a tunic of Nessus, it is this legal regime which will define his character and not the opposite. When we read the French law of December 9, 2016 relative à la transparence à la lutte contre la corruption et à la modernisation de la vie économique (on transparency in the fight against corruption and the modernization of economic life), usually known as "Sapin 2 Act", we note that the lawmaker makes much of this character, because he devotes to him the chapter II: "De la protection des
But why a plural? Certainly when we read the recitals of the European Directive of 7 October 2019 on the protection of whistleblowers
Thus seem to contradict in this law "Sapin 2" itself the very title which presents the character, in that it uses a definite plural ("the whistleblowers") while the article of definition which presents the topic does it by using the singular indefinite : "a whistleblower....".
This is a first reason to move forward only in a very cautious way, in this "step by step" that constitutes a word-by-word reading: a gloss. This method consists in taking literally the expression itself. The second reason for this technical choice is that the gloss is well suited to an introduction of a collective work, allowing more specific developments to take place in other contributions, for example on the techniques, the difficulties and the limits of this protection, or the history of it, or the reasons for the arrival in French law of these American or Brithish whistleblowers and the way they develop, or not, in other legal systems or other countries.
I will therefore content myself with taking again literally this already legal expression: The (I) launchers (II) of alert (III).
See below developments.
On the more general fact that cinema is undoubtedly the medium which most seriously restores the state of the Law, c. Frison-Roche, M.-A., Au coeur du Droit, du cinéma et de la famille : la vie, 2016.
L'histoire du premier lanceur d'alerte, France Culture, septembre 2019.
European Commission, Guidelines on Whistleblowing, 6 of December 2012, SEC(2012) 679 final, updated on 23 of April 2018.
However, precisely the so common use of plurality ("whistleblowers") raises doubts about the uniqueness of the character. On this question, see. all the first part of the developments of this study, which leads to the conclusion rather than beyond the multitude of particular cases, there are rather two kinds of whistleblowers. V. infra I.
The director of the film La fille de Brest says that she considers the whistleblower at the origin of the case of the Pick as a "movie character".
Thus, the adventures of Snowden were brought to the screen by Oliver Stone in 2016, Snowden. On the question of knowing whether this film "faithfully reproduces" or not the case, Schetizer, P., Le film Snowden est-il à la hauteur de la réalité?, 2017. This article is favorable to the whistleblower, and to the film which tells us with emotion his case, in particular because (sic), it is easier than to read the Washington Post.
Underlined by us.
Underlined by us.
About this directive, v. the developments infra
Underlined by us.
Oct. 2, 2019
Thesaurus : Soft Law
Référence complète : Woerth, É., et Dirx B., Rapport d'information par la commission des finances de l'économie générale et du contrôle budgétaire en conclusion des travaux d'une mission d'information relative à l'activisme actionnarial, Assemblée Nationale, octobre 2019, 111p.
June 26, 2019
Blog
La Chambre commerciale de la Cour de cassation a rendu un arrêt le 17 avril 2019, à propos de la société Créatis.
Le cas est le suivant : par des emprunts divers, un couple se retrouve endetté à hauteur de 66.000 euros. Ne pouvant sans doute faire face à ce que cela représente comme charge mensuelle cumulée, ils recourent à une société qui propose un "prêt de restructuration". Lorsque celui-ci a été conçu, la situation professionnelle familiale, professionnelle et financière du couple lui laisse en disponibilités mensuelles environ 1.800 euros par mois. Un prêt de restructuration consiste à regrouper la totalité des crédits et à allonger dans le temps des remboursements, puisque le remboursement doit s'opérer désormais sur 144 mensualités, c'est-à-dire 12 ans.... Certes, la charge mensuelle tombe ainsi d'environ 2.000 euros pour le couple à environ 780 euros. Ce qui devait arriver arriva : le couple ne fît pas face aux échéances et fût poursuivi.
Pour sa défense, les débiteurs font valeur que leur situation était caractéristique d'un "endettement excessif", puis qu’avec une mensualité de 780 euros et 3 enfants à charge, ils ne pouvaient pas rembourser et que le prêteur devait les mettre en garde sur l'inadéquation entre le prêt de restructuration proposé et leur situation, puisque la mensualité excédait le tiers de leur disponibilité et qu'ils étaient non-avertis. Or, cette mise en garde n'avait pas été faite.
Les juges de première instance donnent raison à l'établissement de crédit qui a agi en exécution forcée mais le jugement est infirmé par la Cour d'appel de Grenoble,qui par un arrêt du 19 septembre 2017, considère à l'inverse qu'il y a eu manquement à l'obligation de conseil, déboute l'établissement de crédit de sa demande en exécution du contrat.
La Cour de cassation casse l'arrêt des juges du fond.
La solution est la suivante : La Chambre commerciale relève qu'un "crédit de restructuration, qui permet la reprise du passif et son rééchelonnement à des conditions moins onéreuses, sans aggraver la situation économique de l'emprunteur, ne crée pas de risque d'endettement nouveau". En conséquence de quoi, la Cour d'appel ne pouvait pas statuer ainsi.
Les enseignements que l'on peut en tirer :
- Cet arrêt très bref n'explicite pas davantage le motif de la cassation.
- Est-ce à dire que toutes ces techniques proposées par des sociétés qui diffusent via tous les médias des offres quasiment miraculeuses et promettant à des personnes non-averties qu'elles sortiront ainsi de leur situation quasiment désespérée par cette solution quasiment magique qu'est le regroupement de crédit ? A lire l'arrêt de la Cour de cassation, c'est ce qu'il faut comprendre.... Le raisonnement est de nature arithmétique : puisque par nature les "conditions sont moins onéreuses", la situation du débiteur n'est pas "aggravée" et il ne peut donc pas y avoir de "risque d'endettement nouveau". Ainsi, s'il n'y a pas d'obligation de mise en garde, c'est parce qu'il n'y a pas de sujet.
- Mais est-ce à dire que la Cour d'appel avait entièrement tort ? Sans doute car s'il est vrai qu'il n'y a pas de risque "d'endettement nouveau", il y a un risque de persistance d'incapacité à rembourser. Les chiffres et la situation des débiteurs qui persisteront à l'avenir (charges familiales, loyer, alimentation requise des enfants, situation de handicap d'un parent) fait que le prêteur sait qu'ils ne pourront pas faire face à ces échéances, même diminués. De cela, ne devaient-ils pas les mettre en garde ?
- S'il l'avait fait, alors les débiteurs, conseillés par les travailleurs sociaux, n'auraient sans doute pas persisté dans une voie présentée comme une solution à leurs problèmes, alors qu'elle demeurait structurellement une impasse. Cela ne vaut pas pour tous les prêts de restructuration, mais dans le cas présent, si. Ils auraient recouru à une commission de surendettement, structure publique mise en place par la Loi et non par le marché pour ce type de situation.
- Il aurait été bénéfique que la Cour de cassation rende un arrêt d'espèce et s'exprime ainsi. Car un esprit de justice va sans doute dans ce sens-là : un principe de validité de ces pratiques de marché, car en principe cela est bénéfique pour le débiteur, sauf si dans certaines situations il passe simplement d'une incapacité de payer les échéances à une autre incapacité de payer les échéances. Et dans ce cas-là, le préteur très particulier que sont les établissements spécialisés dans le regroupement de crédit doit le mettre en garde, n'est-ce pas ?
_____