15 juillet 2023

Newsletter MAFR - Law, Compliance, Regulation

📧Compliance & Contrat / lien entre Consentement et VolontĂ© ; enjeu de responsabilitĂ© personnelle : CNIL, 15 juin 2023, Criteo

par Marie-Anne Frison-Roche

♟suivre Marie-Anne Frison-Roche sur LinkedIn

♟s'abonner Ă  la Newsletter MAFR Regulation, Compliance, Law

____

â–ș RĂ©fĂ©rence complĂšteM.-A. Frison-Roche, "Compliance & Contrat / lien entre Consentement et VolontĂ© ; enjeu de responsabilitĂ© personnelle : CNIL, 15 juin 2023, Criteo", Newsletter MAFR Law, Compliance, Regulation, 15 juillet 2023.

____

📧Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

____

đŸ§±L'obligation lĂ©gale de Compliance doit ĂȘtre exĂ©cutĂ©e grĂące Ă  des contrats, mais l'on ne peut s'en dĂ©charger par des contrats : CNIL, 15 juin 2023, Criteo 

____

📧lire l'article —

Le Droit de la Compliance repose sur le fait de confier aux opĂ©rateurs Ă©conomiques la charge d'assurer eux-mĂȘmes la gestion des risques systĂ©miques dont ils ont Ă©ventuellement eux-mĂȘmes contribuĂ© Ă  la survenance. Cela justifie qu'ils soient en permanence supervisĂ©s par des AutoritĂ©s publiques. DĂšs les annĂ©es 1980 en France comme en Allemagne, les organisations publiques ou privĂ©es qui constituent des fichiers contenant des informations sur des personnes doivent les constituer et les gĂ©rer de sorte que les personnes concernĂ©es soient protĂ©gĂ©es par la façon de faire du gestionnaire. Le vocabulaire a changĂ© et le Droit des "donnĂ©es Ă  caractĂšre personnel" s'est sophistiquĂ©, les textes se sont accumulĂ©s, le RGPD en premier lieu, se sont croisĂ©s, notamment avec le Droit de la cybersĂ©curitĂ©, mais le principe est restĂ© le mĂȘme, et le rĂŽle de la CNIL demeure identique : venir en appui, sanctionner au besoin, pour que les personnes bĂ©nĂ©ficient de l'espace numĂ©rique et ne deviennent pas la matiĂšre premiĂšre de l'industrie du numĂ©rique.

La pratique de sanction de la CNIL participe activement à cela, notamment par la publicité que l'Autorité en fait :

🔮A. Linden, 📝Motivation et publicitĂ© des dĂ©cisions de la formation restreinte de la Commission nationale de l’informatique et des libertĂ©s (CNIL) dans une perspective de compliance, 2023

La personne bénéficie de nombreux services en donnant son "consentement".

 

I. INTIMITÉ ET FRACTURE ENTRE VOLONTÉ ET CONSENTEMENT

Le consentement est l'une des plus anciennes notions juridiques : dans une relation à autrui la personne exprime sa volonté et la rencontre que sa volonté opÚre avec la volonté de l'autre par ce consentement (la rencontre des consentements) : ainsi le consentement est la preuve de la volonté libre et éclairée. Le consentement est donc une notion fondamentale du Droit des obligations : la personne est obligée parce qu'elle a engagé sa libre volonté, l'expression de son consentement étant la preuve de cela.

🔮M.-A. Frison-Roche, 📝Remarques sur la distinction entre la volontĂ© et le consentement en droit des contrats, 1995

 

La difficultĂ© du numĂ©rique vient du fait qu'il constitue comme un "marchĂ© des consentements", chacun cliquant et recliquant pour accĂ©der Ă  des objets de dĂ©sir sans exprimer une libre volontĂ© de transfĂ©rer des valeurs que sont les informations qui nous concernent et sans avoir conscience ni de ce transfert, ni de leur usage qui en sera fait : le numĂ©rique a contribuĂ© Ă  la fracture entre Consentement et VolontĂ©, cette fracture entre les deux Ă©tant parfois le modĂšle Ă©conomique et financier de nombreux opĂ©rateurs.

 

II. LE ROLE DES AUTORITÉS DE SUPERVISION POUR QUE LE CONSENTEMENT EXPRIME LA LIBRE VOLONTÉ

La fonction de l'AutoritĂ© publique peut ĂȘtre de renouer cette intimitĂ© entre VolontĂ© et Consentement.

🔮M.-A. Frison-Roche, 🚧Oui au principe de la volontĂ©, Non aux consentements purs, 2018

De la mĂȘme façon que c'est au RĂ©gulateur de superviser les contrats d'accĂšs aux rĂ©seaux pour que le droit d'accĂšs soit effectif, afin que le Droit de la RĂ©gulation demeure la marque d'une organisation libĂ©rale de l'Ă©conomie bien qu'elle prenne une forme Ex Ante, c'est ici au RĂ©gulateur d'intervenir, y compris Ă  travers son pouvoir de sanction, pour que le consentement, fĂ»t-il dĂ©versĂ© par masse de clics, demeure l'expression de libres volontĂ©s des personnes, car le Droit de la Compliance, prolongement du Droit de la RĂ©gulation, doit demeurer la marque d'un droit libĂ©ral, c'est-Ă -dire ayant en son cƓur le principe de libertĂ©.

 

C'est ce qu'illustre la décision de sanction prononcée par la CNIL le 15 juin 2023 contre la société Criteo.

L'activité de celle-ci est décrite par la décision comme étant le ""reciblage publicitaire", qui consistent à suivre les habitudes de navigation des internautes pour leur afficher des publicités personnalisées, au moyen de cookies déposés dans les terminaux des utilisateurs.".

La dĂ©cision dĂ©crit la procĂ©dure, qui dĂ©bute par une plainte d'une association, notamment les contrĂŽles sur place, les demandes de documents (notamment les contrats avec les tiers) et la demande de publicitĂ© formulĂ©e par le rapporteur, en ces termes : "[...] Le 9 juin 2022, le rapporteur a adressĂ© une demande complĂ©mentaire Ă  la sociĂ©tĂ© pour se voir notamment communiquer les derniĂšres versions des conditions gĂ©nĂ©rales d’utilisation des services Criteo, ainsi qu’un Ă©chantillon rĂ©cent de contrats conclus par la sociĂ©tĂ© avec ses partenaires. La sociĂ©tĂ© y a rĂ©pondu le 17 juin 2022 [...] Le 3 aoĂ»t 2022, Ă  l’issue de son instruction, le rapporteur a fait notifier Ă  la sociĂ©tĂ© un rapport dĂ©taillant les manquements aux articles 7, 12, 13, 15, 17 et 26 du RGPD qu’il estimait constituĂ©s en l’espĂšce [...] Ce rapport proposait Ă  la formation restreinte de la Commission de prononcer une amende administrative Ă  l’encontre de la sociĂ©tĂ© d’un montant qui ne saurait ĂȘtre infĂ©rieur Ă  soixante millions d’euros. Il proposait Ă©galement que cette dĂ©cision soit rendue publique et ne permette plus d’identifier nommĂ©ment la sociĂ©tĂ© Ă  l’expiration d’un dĂ©lai de deux ans Ă  compter de sa publication.".

Une autre partie de la dĂ©cision porte sur la question de savoir si les donnĂ©es manipulĂ©es par Criteo peuvent ĂȘtre qualifiĂ©es juridiquement de "personnelles", Criteo allĂ©guant qu'elles ne le peuvent pas, mais la CNIL retient la qualification qui dĂ©clenche le rĂ©gime protecteur car "si la sociĂ©tĂ© ne dispose pas directement de l’identitĂ© des personnes physiques auxquelles sont liĂ©s les terminaux sur lesquels des cookies sont inscrits, la rĂ©identification peut ĂȘtre facilitĂ©e par le fait que, dans certaines hypothĂšses, la sociĂ©tĂ© collecte, outre les donnĂ©es liĂ©es aux Ă©vĂšnements de navigation, d’autres donnĂ©es qui facilitent la rĂ©identification telles que les adresses Ă©lectroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifiĂ© (ou " loguĂ© ") sous forme hachĂ©e, des identifiants leur correspondant gĂ©nĂ©rĂ©s par d’autres acteurs, l’adresse IP sous forme hachĂ©e ou encore l’agent utilisateur du terminal utilisĂ©.".

DĂšs lors, la preuve d'un consentement librement donnĂ© doit ĂȘtre apportĂ©e.

 

III. LA DÉMONSTRATION D'UN CONSENTEMENT LIBREMENT APPORTÉ RELÈVE DE LA RESPONSABILITÉ PERSONNELLE EX ANTE DE L'ENTREPRISE, INDEPENDAMMENT DE L'ORGANISATION CONTRACTUELLE

Or, selon les observations faites par le rapporteur, "la sociĂ©tĂ© n’a mis en place aucune mesure lui permettant de s’assurer que les donnĂ©es Ă  caractĂšre personnel qu’elle traite sont uniquement celles pour lesquelles un consentement valable de la personne a Ă©tĂ© recueilli".

Plus important encore, la dĂ©cision relĂšve que la sociĂ©tĂ© n’avait pas mis en Ɠuvre de mĂ©canisme d’audit de ses partenaires.

La défense de l'entreprise a consisté à soutenir que ses partenaires ont "la qualité de responsables conjoints de traitement, restent les mieux placés pour collecter le consentement des personnes concernées en ce que le cookie Criteo est déposé dans le terminal des internautes lors de la navigation sur leur site web".

Criteo Ă©voque pour cela non seulement l'arrĂȘt de la Cour de justice Fashion qui valide cette qualitĂ©, mais encore les conditions gĂ©nĂ©rales et les accords conclus avec les diffĂ©rents partenaires qui bĂ©nĂ©ficient de ses services.

L'entreprise en avait quant Ă  elle dĂ©duit que : "[...] cette rĂ©partition contractuelle est suffisante pour assurer le respect de cette obligation, qui s’impose Ă  ses partenaires en vertu du principe de force obligatoire des contrats.".

Ce raisonnement n'est pas suivi par l'autoritĂ© de rĂ©gulation. En effet, pour la CNIL, "le fait que la collecte du consentement des internautes pour la mise en Ɠuvre du traitement en cause revienne aux partenaires n’exonĂšre pas la sociĂ©tĂ© de son obligation, en application de l’article 7 du RGPD, d’ĂȘtre en mesure de dĂ©montrer que la personne concernĂ©e a donnĂ© son consentement.".

L'entreprise reste ainsi du fait des lois responsable personnellement, quels que soient les mécanismes contractuels mis par ailleurs en place (engagements des partenaires, audit, etc.), ce qui peut engendrer un double régime de responsabilités mais pas un transfert.

 

IV. L'ANALOGIE AVEC L'OBLIGATION DE VIGILANCE, POINTE AVANCÉE DE L'OBLIGATION DE COMPLIANCE

La CNIL sanctionne Criteo car elle estime que c'est à celle-ci de s'assurer du libre consentement des internautes (c'est-à-dire du lien entre Volonté et Consentement).

L'obligation de compliance repose sur Criteo, qui ne peut donc pas utiliser le Droit des contrats pour se délester de son Obligation légale de Compliance.

🔮M.-A. Frison-Roche, 📝Contrat de compliance, clauses de compliance, 2023

 

C'est exactement le mĂȘme raisonnement qui s'applique Ă  propos de l'obligation de vigilance.

En effet les entreprises assujetties par la loi à l'obligation de vigilance peuvent exécuter celle-ci en ayant recours à des contrats, soit spécifiques, soit par des stipulations insérées dans des contrats qui organisent la chaßne de valeur qu'elles maßtrisent

🔮M.-A. Frison-Roche, 📝Penser et manier la Vigilance par ses Buts Monumentaux de Compliance, 2023

Mais il est exclu, aussi bien dans l'esprit des RĂ©gulateurs que des Juges que des LĂ©gislateurs, que le contrat puisse ĂȘtre un moyen pour se dĂ©charger de sa responsabilitĂ©. Cela est notamment expressĂ©ment posĂ© dans la directive europĂ©enne en cours de vote sur le devoir de vigilance (Corporate Sustainability Due Diligence Directive - CS3D).

 

Ainsi, la décision de la CNIL rappelle ici ce qui est une rÚgle générale du Droit de la Compliance : celui-ci engendre sur les opérateurs puissants une "responsabilité personnelle Ex Ante".

🔮M.-A. Frison-Roche, 📝La responsabilitĂ© Ex Ante, pilier du Droit de la Compliance, 2022

La CNIL écarte d'ailleurs le précédent évoqué de la décision Fashion au nom de la volonté du Législateur de "responsabiliser" l'entreprise.

Cela valide la qualification des procÚs en matiÚre de Compliance qui sont non pas tant des procÚs en "responsabilité", mais des procÚs en "responsabilisation" :

🔮N. Cayrol, 📝Des principes processuels en Droit de la Compliance, 2023

________

les commentaires sont désactivés pour cette fiche