📧Dialogue et interrégulation : ce qui est requis dans le système numérique et les contentieux qui en naissent

Dans le cycle de conférences-débats qui explore le Contentieux Systémique Émergent (CSE), sous la direction scientifique de Marie-Anne Frison-Roche,

🧱programme du cycle Contentieux Systémique Émergent (CSE)

après la conférence-débat du 29 mars 2024 ayant porté sur la définition même du Contentieux Systémique Émergent,

🧱article de compte-rendu de la conférence-débat 🧮Importance et Spécificité du Contentieux Systémique Émergent

et la conférence-débat du 26 avril 2024 ayant porté sur la Vigilance, nouveau champ de Contentieux Systémique Émergent,

🧱article de compte-rendu de la conférence-débat 🧮La vigilance, nouveau champ de Contentieux Systémique

la conférence-débat du 27 mai 2024 qui s'est tenue à la Cour d'appel de Paris a eu pour thème :

LES CONTRÔLES TECHNIQUES DES RISQUES SUR LES PLATEFORMES ET LES CONTENTIEUX ENGENDRÉS

Y sont intervenus Michel Séjean, Professeur à l'Université Sorbonne Paris Nord, et Roch-Olivier Maistre, Président de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), dans une présentation d'ensemble que j'ai eu le plaisir de modérer et qui s'est déroulé en 4 temps, avant d'ouvrir le débat avec la salle :

Le Contentieux Systémique Émergent du fait du système numérique (🕴Marie-Anne Frison-Roche)
L’obligation systémique de sécurité sur les plateformes et les contentieux associés (🕴Michel Séjean)
Un cas systémique in vivo : le cas dit des sites pornographiques (🕴Marie-Anne Frison-Roche)
Obligations des opérateurs (RSN/DSA) et rôle des Régulateurs (🕴Roch-Olivier Maistre)

___

Sont ici mentionnés les propos généraux des orateurs ; le débat avec la salle n'est pas rapporté afin de permettre, dans cette série de conférences-débats en présentiel, de conserver la liberté des échanges.

___

🧱consulter les slides ayant servi de support à cette introduction

En introduction, j'ai donc rappelé ce qu'est un Contentieux Systémique Émergent : une cause (au sens procédural de ce terme) dans laquelle sont impliqués les intérêts d'un système et son avenir même (systèmes bancaire, financier, énergétique, de transport, numérique, etc.).

Ce cas, qui est systémique parce qu'un système est ainsi dans l'instance, peut être présent devant un juge spécialisé, dans les questions qui touchent ce système, y compris et par nature un régulateur dans sa formation juridictionnalisée, mais aussi un juge de droit commun, non pas parce qu'il voudrait s'emparer d'un sujet mais parce que des parties en litige lui posent des questions et qu'il est de son office juridictionnel de devoir répondre aux questions qu'on lui pose.

pour en savoir plus➡️🧱M.-A. Frison-Roche, 🚧L'hypothèse de la catégorie des causes systémiques portés devant le juge, 2021

Il en résulte par nature un éclatement du contentieux, un système de poulies avec des sursis à statuer, des enjeux de cohérence qu'il faut affronter dès le départ, car c'est toujours le même système qui est présent devant chacun de ces juges. Même devant le juge de droit commun, c'est en termes d'"interrégulation" qu'il faut penser le cas, procéduralement et substantiellement.

pour en savoir plus➡️🧱M.-A. Frison-Roche, 📝L’hypothèse de l’interrégulation, in M.-A. Frison-Roche (dir.), 📕Les risques de régulation, 2005

Le système numérique est exemplaire de cela.

pour en savoir plus➡️🧱M.-A. Frison-Roche (dir.), 📕Internet, espace d'interrégulation, 2016

Le système numérique est ici pris en ce qu'il présente des "risques systémiques".

La gestion de ces risques systémiques est faite "en première ligne" par les opérateurs eux-mêmes, puisqu'elle est internalisée dans les opérateurs cruciaux qui ont construit, structurent et font fonctionner l'espace numérique. C'est la base même du Droit de la Compliance.

pour en savoir plus➡️🧱M.-A. Frison-Roche (dir.), 📕Les Buts Monumentaux de la Compliance, 2022

Ces enjeux d'interrégulation doivent être intégrés dans l'office du juge lui-même

pour en savoir plus➡️🧱F. Ancel, 📝Quel rôle pour le juge aujourd’hui dans la compliance ? Quel office processuel du juge dans la compliance ?, in Conseil d'État et Cour de cassation, 📗De la régulation à la compliance : quel rôle pour le juge ?, 2024

Les plateformes font ainsi de fait et de droit émerger des contentieux systémiques, puisqu'elles engendrent et gèrent des risques systémiques. Ils sont répertoriés en liste mais constituent aussi une unicité au regard du type de contentieux qui en naît. Ainsi, par méthode, plus le contentieux paraît dispersé et plus cette unicité doit être mise en avant par les différents juges qui, par leur dialogue et travail commun, doivent agir, tandis que les parties saisissent tant de juges différents sur des sujets qui paraissent différents mais qui relèvent tous de la même logique.

Il s'agit notamment dans le système numérique de risques de désinformation, de risques d'agression par le discours, de risques de captation d'information, de risques de destruction d'infrastructure, de "risques cyber" (ce qui est une façon très large de désigner), de risques d'accès des mineurs aux sites qui leur sont interdits (ce qui est une façon très précise de désigner), mais il s'agit toujours de de risques qui s'infiltrent dans la structure même de l'espace numérique et à propos desquels une question va être posée au juge : va donc en résulter un "Contentieux Systémique Émergent".

___

Après cette brève introduction générale, 🕴Michel Séjean a exposé la façon dont l'obligation systémique de cybersécurité sur les plateformes.

L'orateur souligne l'unicité des règles à première vue éparses qui concernent l'espace numérique si on les appréhendé à travers l'exigence de cybersécurité, ce qui justifie l'élaboration d'un code d'éditeur consacré à celle-ci :

pour en savoir plus➡️🧱M. Séjean et a. (dir.), Code de la cybersécurité, 2e éd., 2024

Cela illustre le fait que c'est l'ensemble du numérique qui peut justifier une approche par les risques :

pour en savoir plus➡️🧱A. Latil, 📗Le droit du numérique. Une approche par les risques, 2023 (monographie Dalloz)

L'orateur souligne l'analogie souvent faite entre l'espace numérique et l'espace physique, puisque dans l'un comme dans l'autre chacun d'entre nous peut faire l'objet d'une agression. Mais cette analogie trouve très rapidement ses limites.

En effet et en premier lieu, les personnes ont un droit à la sécurité dans l'espace physique mais dans l'espace numérique un tel droit est soumis à la satisfaction préalable : que l'entreprise ait elle-même organisé sa sécurité. L'entreprise ne pourrait se plaindre d'une agression, par exemple d'un vol de données, que si elle a préalablement sécurisé celles-ci, sécurisation dont elle est responsable, et dont chacun est responsable, par exemple à travers la robustesse des mots de passe choisis.

Cette exigence singulière tient au fait qu'une attaque opérée contre une personne ne met pas en danger ou ne cause pas un dommage qu'à celle-ci, mais met en danger et cause un dommage à l'ensemble du système : sa réalisation ou sa perspective est par nature systémique.

Si l'on croise cela avec le fait que par nature les plateformes, et plus particulièrement les 4 premières (dont les 3 premières sont américaines) sont elles-mêmes un phénomène systémique, par exemple en ce qu'elles hébergent la grande majorité des données du monde entier, l'on mesure que l'obligation de sécurité sur les plateformes est une "obligation systémique".

L'orateur souligne également qu'une situation présente une dimension systémique lorsque sont en jeu les intérêts vitaux de la Nation. Pour qu'une situation soit ainsi caractérisée, il n'est pas forcément besoin que de très nombreuses personnes soient concernées, il faut mais il suffit qu'un "opérateur vital" soit concerné. Ainsi, il n'est pas besoin que l'incident réalisé ou possible soit "massif" pour qu'il ait une dimension systémique.

Si l'on prend le cas plus particulier des plateformes, des critères de deux ordres font apparaître cette dimension systémique : le premier critère est l'importance des données, le second critère est l'importance de l'entité concernée.

L'importance des données varie et ne dépend pas forcément des distinctions opérées par le Droit, par exemple entre les données personnelles et les données non-personnelles, mais implique souvent le secteur dont il s'agit (santé, bancaire, défense, etc.), chaque catégorie et sous-catégorie renvoyant à un régime juridique qui lui est spécifique et qui croise d'autres régimes juridiques.

Le critère général est plutôt celui de la criticité des données, qualification unifiante engendrant des régimes juridiques de plus en plus contraignants qui consistent "à avertir le système" en cas de problème, notamment à travers les différentes autorités de régulation concernées à un titre ou à un autre, par exemple une Agence Régionale de Santé (ARS), l'ACPR, la CNIL, etc.

Le second critère concerne la criticité des entités. Il s'agit des opérateurs d'importance vitale, des entités essentielles, ce qui inclut les très grandes entreprises dans 18 secteurs de l'économie. La différence de criticité implique des régiments juridiques différents.

L'orateur souligne que ce n'est donc pas la plateforme le centre d'analyse, mais que la plateforme est le signe de la façon dont le Droit élabore l'obligation systémique de cybersécurité, en ce que cette obligation systémique dépasse la Nation française, ce qui justifie par ailleurs les Agences de régulation et de supervision. D'une façon plus particulière, l'ANSSI, qui relève du Premier Ministre, sera bientôt dotée d'un pouvoir de sanction impliqué par la prochaine loi de transposition de la directive européenne relative à élever le niveau de cybersécurité (Network and Information Security 2 directive - NIS 2).

Mais cette préservation Ex Ante du système par ses propres dispositifs techniques et des Autorités administratives ainsi que des obligations intégrées dans les entités elles-mêmes n'empêche pas les contentieux. L'orateur en a pris un exemple. Une cyberattaque s'est déroulée en 2017 au détriment de plus de 10.000 entreprises, dont certaines de taille critique. Les laboratoires Merck ont voulu activer la police d'assurance les protégeant en cas de "virus informatique". Dans le même temps, le président des États-Unis se réfère dans les médias à cette cyberattaque en l'imputant aux russes et en la qualifiant d'acte de guerre. Or, dans le contrat d'assurance, si une clause prévoit la garantie en cas de dommage causé par un virus informatique, une autre clause exclut la garantie lorsque le dommage résulte d'un acte de guerre. L'entreprise a saisit les tribunaux. Tandis que le cas était pendant devant la Cour suprême du New Jersey, une transaction a eu lieu entre les parties, et l'on ne connait donc pas la solution que le juge aurait apportée à un tel contentieux. Mais la Cour d'appel avait précédemment statué en affirmant que l'ambiguïté profite à celui qui ne rédige pas le contrat, et que d'autre part la qualification d'"acte de guerre" ne peut pas être retenue puisqu'il n'y a pas eu de sang versé dans cette cyberattaque.

Dans la "grammaire systémique" sur laquelle vont se construire de tels contentieux systémiques, l'on retrouve le principe selon lequel l'entité, notamment la plateforme, doit respecter son obligation de minimiser le dommage qui peut lui être fait, notamment en élaborant une cartographie des risques, un plan de réponse à incident, une politique générale de sécurité, inséré dans une exigence plus générale documentaire.

Si le risque est trop lourd, il sera partagé entre l'entreprise et l'État, lequel prend aussi sa part dans les procédures de contrôle. L'objectif n'est pas la suppression du risque cyber, ce qui est impossible, mais de le limiter et de le gérer par la prévention, l'information, la détection, la sécurisation.

___

Après cette démonstration d'ensemble, une cause systémique in vivo a été décrite pas à pas par 🕴Marie-Anne Frison-Roche.

S'appuyant sur la démonstration précédente, qui a montré que les entreprises sont en première ligne, pour illustrer la façon dont cela se passe, pas toujours aussi bien, pas toujours aussi vite, qu'effectivement la notion de territoire est en train de disparaître, ce qui permet de saisir une multitude de juges, de différentes sortes, dans différents lieux, dans différents litiges entre différentes parties, alors même que c'est une seule question systémique qui est posée et contestée, j'ai pris un cas ouvert depuis 2021 : le cas dit des sites à contenu pornographique.

L'exposé n'est pas ici repris, puisque des informations plus exhaustives sont disponibles sur les slides :

🧱consulter les slides ayant servi de base à cette intervention, reproduisant, étape par étape les courriers, décisions de justice et législations, avec les arguments et prétentions des uns et des autres

De ce cas toujours en cours, où interfèrent de nombreuses lois, anciennes, récentes, françaises, européennes, l'Arcom, le juge judiciaire, le juge administratif, potentiellement le juge constitutionnel, le juge européen, il en résulte que les différents juges ont toujours su non seulement répondre aux questions mais encore écouter ce que disent les autres juges.

Il demeure que 3 ans après l'effectivité de l'interdiction d'accès des mineurs à la pornographie n'est pas atteinte. La loi française du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique confie au Régulateur le soin d'y parvenir. On peut craindre que cela n'éteigne pas le contentieux. Le Régulateur anglais, l'Ofcom, alourdit les obligations et les sanctions sur les opérateurs numériques. Il est possible que cela ne l'éteigne pas davantage.

Le dialogue des juges que l'on peut observer dans ce cas, où le Tribunal judiciaire de Paris s'est expressément référé dans son jugement du 7 juillet 2023 à la notion de "cause systémique" pour justifier son sursis à statuer, se tournant ainsi vers le Conseil d'État, doit voir son efficacité accrue.

À travers ce cas en cours, c'est une observation et un souhait que l'on peut d'une façon plus générale formuler pour l'ensemble du Contentieux Systémique Émergent.

___

Puis, 🕴Roch-Olivier Maistre s'est appuyé sur les deux précédentes interventions pour exposer les obligations systémiques qui relèvent des opérateurs, telles qu'elles découlent notamment du Règlement sur les Services Numériques (RSN/DSA) et la place du Régulateur, en écho avec le rôle du Juge.

À titre liminaire et prenant appui sur l'exposé du cas évoqué ci-avant, l'orateur a rappelé que la place du Régulateur est "à côté" du Juge. Il ne se substitue pas au juge, qu'il soit judiciaire ou administratif, et agit en permanence sous le contrôle de celui-ci.

Sur ce sujet de la place du Régulateur, il constate également que les pouvoirs politiques nationaux et européens (législatifs et exécutifs) oscillent entre le choix de la voie de la régulation et celui plus direct de la coercition.

L'orateur expose ensuite le rôle de l'Arcom dans le contrôle des contenus publiés sur les plateformes numériques.

Il retrace brièvement les fondements de l'action de l'Arcom en la matière et l'évolution de celle-ci. D'abord, la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l'information, qui a imposé aux opérateurs de premières obligations et notamment de collaborer avec le Régulateur (à l'époque le CSA), mais sans que celui-ci ne soit alors doté d'un pouvoir de sanction. Vient ensuite la loi du 24 juin 2020 visant à lutter contre les contenus haineux sur internet (dite loi "Avia"), quasiment intégralement censurée par le Conseil constitutionnel. Le législateur français, ayant par la suite adopté la loi du 24 août 2021 confortant le respect des principes de la République anticipant quelque peu sur ce qui est depuis devenu le texte de référence pour l'action du Régulateur : le Règlement du 19 octobre 2022 relatif à un marché unique des services numériques (dit règlement sur les services numériques - RSN) (en anglais Digital Services Act - DSA), en vigueur depuis le mois d'août 2023 pour les très grandes plateformes et février 2024 pour les plus petites.

L'Arcom dispose en outre d'une compétence spécifique en matière de sites pornographiques, afin d'empêcher l'accès des mineurs aux contenus publiés sur ces sites. La première base juridique fondant cette compétence est la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales. Le cadre juridique a récemment évolué, à la faveur de la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (dite loi SREN). Celle-ci a soulevé beaucoup de débats, notamment au niveau européen, au regard de son articulation avec le DSA. En application de la loi SREN, l'Arcom a élaboré avec la CNIL un référentiel, notifié à la Commission européenne.

Tous ces textes n'empêcheront pas le contentieux, d'abord parce qu'ils seront eux-mêmes contestés et ensuite parce que l'exercice par l'Arcom de ses pouvoirs, notamment son nouveau pouvoir direct de blocage des sites, sera contesté devant les tribunaux nationaux et européens, judiciaires et administratifs, tandis que la question de la mise en place d'un contrôle technique de l'âge de l'internaute n'est toujours pas résolue. Dans le référentiel élaboré par les deux Autorités françaises, il est proposé une solution, intermédiaire par rapport à toutes celles proposées, à partir de la carte bancaire utilisée. Cet état des lieux montre bien la difficulté du sujet, puisque ces sites demeurent accessibles.

La seconde compétence de l'Arcom est elle-aussi très spécifique, visant la lutte contre les contenus terroristes et pédopornographiques, notamment par le Règlement dit TCO, confiant au Régulateur la supervision du fonctionnement de la plateforme Pharos qui bloque ces sites. Chaque semaine, une vérification est faite pour éviter les abus dans l'exercice de ce pouvoir.

L'orateur a ensuite centré son propos sur le RSN/DSA.

Il rappelle que le Règlement précité RSN (ou DSA) constitue la première tentative mondiale d’un continent pour réguler les grands acteurs mondiaux du numériques et lutter contre les excès des contenus disponibles sur les grandes plateformes.

Ce qui est en jeu ici et d'une façon plus générale est l'équilibre entre la protection des libertés publiques fondamentales, notamment la liberté de communication qui s'exerce sur les plateformes, lesquelles sont indispensables dans notre vie quotidienne, et le besoin de protection des individus et de la société.

Ce Droit s’est inspiré de ce qui prévaut dans le champ audiovisuel, à ceci près qu'il n'est pas possible de déployer les mêmes techniques, car le monde audiovisuel est un monde fini, qui se déploie à l'égard d'une situation physique dans laquelle l'on peut revisionner l'ensemble des contenus pour les analyser juridiquement et le cas échéant les sanctionner, alors que sur les plateformes numérique ce sont des centaines de millions de contenus qui sont diffusés chaque seconde, à l'échelle planétaire, ce qui rend impossible un contrôle de chaque contenu par le régulateur. C'est pourquoi le DSA s'appuie également sur le Droit de la Compliance, en ce qu'il impose aux opérateurs d'eux-mêmes lutter contre les contenus illicites. L'Union européenne exprime cette volonté politique, ce but, et demande aux opérateurs de lutter contre les contenus illicites.

Cela se traduit par plusieurs obligations, mises à la charge des opérateurs, à savoir l'obligation d'évaluer chaque année les risques systémiques auxquels la plateforme expose les utilisateurs et l'obligation de lutter contre ces risques, l'obligation de soumission à des audits externes, l'association de la société civile, notamment par des signaleurs de confiance dont les informations devront être traitées en priorité par l'opérateur numérique, l'obligation de collaborer avec le monde universitaire, notamment en donnant accès aux données aux chercheurs.

Cette internalisation de la règle dans les entreprises par des mécanismes de Compliance s'opère sous le contrôle d’un Régulateur mais dans une gouvernance originale mise en place dans l'Union européenne par le RSN/DSA. En effet, la Commission européenne est au cœur du dispositif qui s'appuie également sur des Autorités des Etats-membres. Ainsi, la loi SREN a confié ce rôle à l'Arcom pour la France, comme autorité en charge de la coordination au niveau national.

Cette gouvernance originale a déjà produit ses effets, puisque la Commission a ouvert des enquêtes sur le fondement du RSN/DSA sur de très grandes plateformes, enquêtes européennes auxquelles l'Arcom collabore en tant que coordinateur national.

En outre, le texte prévoit une sanction financière des opérateurs conséquente, pouvant aller jusqu'à 6% du chiffre d'affaires mondial.

L'orateur souligne la difficulté concrète engendrée par la différence de temporalité entre le temps de la régulation systémique, le temps judiciaire, le temps de la décision administrative et politique, et le temps des contrôles techniques sur les plateformes, au regard des risques et des buts de régulation.

Cette articulation des temporalités se met en place par l'action des plateformes elles-mêmes, notamment par le recours aux outils algorithmiques, tandis que l'Etat s'est renforcé pour lutter contre les ingérences étrangères. Le nouveau Règlement européen prévoit des procédures d'urgence. Il demeure que ce premier sujet mérite toutes les attentions, et que les technologies font partie des solutions pour que le fossé ne demeure pas entre ces temporalités.

Sur le fond et pour que se déploie cette nouvelle gouvernance, pleine d'avenir, il faut que non seulement s'articulent ces différentes régulations, comme c'est déjà en train de se faire, selon des méthodes qui sont en train de s'inventer, mais encore que s'opère un équilibre entre plusieurs libertés publiques fondamentales, visées dans ce Règlement européen complexe et prometteur, à savoir l'équilibre entre la liberté d'expression et les libertés dont les citoyens demandent la protection effective à travers le contrôle des contenus, voire le blocage de sites. Le juge en est un des gardiens essentiels.

___________