L'apport du Droit de la Compliance dans la Gouvernance d'Internet : résumé en 3 pages

Le Droit est un art pratique. Il est d’autant plus performant en pratique qu’il est ordonné autour de quelques principes posés par avance, facile à comprendre par tous et acceptés par la majorité. En cela le Droit constitue un élément essentiel d’une « gouvernance » stable.

Le pragmatisme ne consiste pas à empiler des textes qui apportent chacun une solution ponctuelle à une difficulté ponctuelle repérée, dans l’attente de l’apparition d’une nouvelle difficulté qui donnera lieu à un texte nouveau. Si l’on procède ainsi, l’on vit alors sous un flot continu de textes, souvent appelé sous l’unique terme de « réglementations », qui ne sont que de l’Ex Post, qui court après les faits et les cas, toujours inattendus. Au contraire, rien n’est plus pratique que quelques principes à la fois simples et propres à l’objet, qui constituent un véritable Ex Ante, les juridictions appliquant les principes aux cas, toujours divers, toujours nouveaux, qui se présentent toujours, les tribunaux interprétant les principes. Il faut parfois changer de principes ou en ajouter d’autres, mais cela arrive peu souvent.

Or pour l’instant il ne semble pas y avoir beaucoup de principes simples et stables dans le monde digital. L’on demande plutôt à des textes de courir après des faits. Cela pourrait être « l’apport du Droit de la Compliance » que de formuler des principes et d’en tirer les conséquences juridiques, notamment institutionnelles. Il ne s’agit pas pour autant d’être indifférent aux faits.

Pour raisonner en principes, il faut connaître les faits : le Droit ne peut s’élaborer qu’en mesurant d’abord et le plus simplement possible ce à quoi aujourd’hui et maintenant les autorités publiques et les personnes font face dans le « monde digital », la question étant d’ampleur parce que le monde digital a digitalisé le monde (chapitre I). Le monde digital est né grâce au principe de liberté, principe auquel il n’est pas question de renoncer. Face aux situations et comportements préoccupants, voire inadmissibles, le Droit n’a pour l’instant fait que « réagir », soit par des lois ponctuelles, soit par le Droit de la concurrence qui demeure un Droit Ex Post. Ainsi le seul principe Ex Ante est celui de la Liberté, dont certains de ses usages finissent par engendrer un souci de civilisation car les personnes en sont « pulvérisées », que cela prenne la forme classique de la liberté de parole ou la forme nouvelle de pulvérisation de la personne en données. Il semble en résulter une impasse, puisque certains proposent comme seule solution de renoncer au Principe de Liberté pour protéger les personnes. Mais à cette renonciation, il ne faut pas se résoudre.  Sauf à entrer dans une grande violence juridique, par exemple briser la puissance des très grandes entreprises numériques qu’il faudrait démanteler alors qu’elles ont construit et font vivre cet extraordinaire monde digital et participer à l’existence qui perdure de l’Occident dans le monde.

L’apport du Droit de la Compliance pourrait permettre de sortir de cette aporie : au lieu de viser à diminuer la puissance des entreprises, il faut au contraire s’appuyer sur celles-ci (chapitre II).  En effet, le Droit de la Compliance consistant à internaliser dans des opérateurs cruciaux, dont la liste est aisée à dresser, des buts qui sont concrétisés grâce à leur puissance (information, globalisation, technologie). Ces buts sont fixés par les Autorités publiques. La normativité étant dans les buts (lien entre Régulation et Compliance), l’essentiel est de les fixer clairement et nettement. Le premier est de nature systémique, le monde digital étant ici très analogue au monde bancaire et financier : il s’agit du but systémique de confiance, confiance dans l’information, confiance dans les systèmes de transmission d’information, confiance dans les opérateurs cruciaux eux-mêmes dans l’indifférence de leur nationalité.  Cette confiance systémique est apportée par l’ensemble des internautes grâce à un premier pilier qu’il faut préserver, le Principe de Liberté, et grâce à un second pilier, qu’il faut construire, le Principe de Personne, que certains veulent méconnaître, s’approprier ou détruire, non seulement dans le monde digital mais par le monde réel. C’est l’articulation de ces deux Principes – Liberté et Personne – qui préservera ou restaurera le bien commun de la confiance.

En cela le Droit de l’Union européenne a déjà montré que par des Droits encore fragmentés de la Compliance il est allé plus loin que le souci mécanique de la protection d’un système, développé aux États-Unis (chapitre III). Un Droit mécanique, réduit à une « réglementation » appliquée automatiquement à un système, est un Droit mort. Le Droit américain de la Compliance peut donner cette impression. A travers d’une part l’Union bancaire et les trois régulateurs bancaire, assurantiel et financier, l’Union européenne est parvenue, sans s’adosser à un État, à exprimer un but systémique de protection générale, internalisé dans les opérateurs cruciaux. En cela, il faut prendre le Droit américain comme modèle simplement initial ; il ne faut pas pour autant le prendre comme ennemi : ne pas être en défense, alors que le monde digital se prête si bien à la Renaissance. Et c’est le Droit de l’Union européenne qui a donné l’exemple à travers la jurisprudence puis le Règlement de 2016 sur la circulation des données et la protection des personnes « concernées » par celles-ci en internalisant dans les entreprises un souci peu présent dans les techniques américaines de Compliance : le souci premier de la Personne. En cela, le Droit retrouve son objet premier : la vie des êtres humains. Le Droit de l’Union dispose déjà des linéaments de ce Principe Ex Ante du Principe  de Personne s’articulant avec le Principe de Liberté (dont les excès sont déjà sanctionnés Ex Post par le Droit de la concurrence, Droit dynamique mais qui ne peut suffire) : l’Ex Ante du Droit de la Compliance vise une double prévention systémique, la prévention du risque de perte de confiance dans les contenus et la prévention des atteintes à la Personne qui entraînent une perte de confiance dans les opérateurs. Ces deux piliers Ex Ante sont encore insuffisamment formulés d’une façon simple et générale : c’est la contribution du Droit de la Compliance que de le faire pour que s’applique à travers l’ensemble du monde digital et du monde digitalisé et le respect de la Liberté (qui ne doit pas être perdu) et le respect de la Personne (qui doit être gagné). En cela, ce principe constitutif de la Personne doit arrêter l’efficacité des dispositifs mécaniques étrangers, y compris dans les mécaniques de process de compliance.

Le chapitre IV expose les éléments d’application constituant cet apport, qui ne nécessite pas de bouleversements institutionnels majeurs ou d’adoption de textes bouleversant l’état du Droit, processus dont on connait la difficulté et la lenteur. Il convient de partir du but : la préservation dans le monde digital et digitalisé de la « Personne », c’est-à-dire des « sujets de droit », techniquement titulaires de droits et d’obligations. Pour activer le Principe de Personne, il faut attribuer des droits subjectifs nouveaux, comme historiquement le juge l’a fait, et plus particulièrement la Cour de justice de l’Union. Ces droits subjectifs, dont le « droit à l’oubli » est le parangon, le droit de n’être pas insulté, persécuté, etc., ont un effet disciplinaire et structurant avec des effets extra territoriaux adéquats, le rattachement de la « personne concernée » avec le Droit de l’Union devant être large (trois critères alternatifs).

Le Droit de la Compliance n’est en rien un Droit qui a pour ennemis les opérateurs cruciaux : au contraire, il augmente leurs pouvoirs, en internalisant leur pouvoir de collecter des données, mais en les instituant gardiens de celles-ci et non maîtres ou propriétaires de celles-ci : c’est aussi pour servir des buts qui les dépassent que cette puissance est conçue et leur obligation de collaboration immédiate avec les Autorités publiques doit être accrue. En effet, leur action servant à la protection du groupe social doit être dictée par l’Autorité publique et non par leur charte ou des comités divers internes qui ne font que recopier ou anticiper leur devoir. Il demeure que pour exécuter leurs devoirs, ils doivent avoir des pouvoirs adéquats, notamment sur les internautes, pouvoirs qui sont ainsi légitimités. A ce titre, un démantèlement des « opérateurs cruciaux » affaiblirait aussi les Autorités publiques qui ont déjà inséré en ceux-ci des buts d’intérêt général.

En outre, comme le sont les gestionnaires d’infrastructure essentielle, ils deviennent les débiteurs directs des droits subjectifs des personnes, prérogatives conférées à celles-ci par le Droit (sur le modèle du « droit à l’oubli »), même si ces opérateurs ne sont pas en rapport contractuel avec ces personnes. Le débiteur d’un droit subjectif a une obligation Ex Ante de le concrétiser. Cela est vrai pour les droits subjectifs que le Droit objectif doit créer, comme pourrait l’être le « droit à être éduqué », puisque l’éducation est désormais digitalisée, qu’il y ait un droit pour que cela ne soit pas pour le pire (pornographie, violence, secrets protégés accessibles à tous, etc.) et que cela soit pour le meilleur ; cela est vrai pour les droits subjectifs anciens que le monde digital a concrètement effacés et dont le retour à l’effectivité doit être à la charge des opérateurs cruciaux sur lesquels repose ce nouveau monde. Ainsi, l’on doit légitimer mais aussi exiger une implication plus effective des opérateurs cruciaux dans l’effectivité des droits des « créateurs », qui vont au-delà de la rémunération. Le monde n’est pas fait que d’argent, ce n’est pas son seul enjeu, sa seule mesure. Pour cela, il faut accroître les pouvoirs Ex Ante des opérateurs, afin qu’ils exécutent des obligations nouvelles Ex Ante en matière de droits subjectifs des créateurs, pour que ceux-ci cessent d’être dépossédés, notamment en matière de contrefaçon. Les personnes, titulaires concrets de l’ensemble de ces droits subjectifs, doivent pouvoir agir devant un Régulateur ou un juge pour en demander l’effectivité.

Ce faisant et pour cela, comme on le fait en Régulation financière, il faut reconnaître aux opérateurs cruciaux le statut de « régulateurs de second niveau », leur forme juridique et leur nationalité n’ayant pas de pertinence pour l’octroi en Europe d’une telle qualification, leur position suffisant à justifier cette qualification, un organisme public exerçant alors sur eux une puissance de « supervision ». Au niveau européen, cela engendre en premier lieu un maillage de l’ensemble des régulateurs, car le maillage est une meilleure solution que la concentration (c’est le modèle du trio ESMA – EBA – EIOPA et les trois organes de l’Union bancaire, de supervision, de résolution des difficultés et de garantie, qui eux-mêmes s’articulent avec les superviseurs nationaux).

La Cour de Justice a posé dans sa jurisprudence qu’elle est gardienne d’un « État de Droit » : faute d’État européen, une distribution de droits subjectifs par des Autorités (Cour de Justice, Commission, Régulateurs, juridictions) dont les opérateurs numériques cruciaux sont les débiteurs effectifs, supervisés par un maillage d’Autorités publiques ayant à son centre la Commission européenne, représentée par la DG Connect correspondrait à l’évolution du Droit européen. Cela ne constituerait pas une rupture mais un nouveau degré dans sa maturité comme zone souveraine. 

Ce système de maillage institutionnel est d’autant plus adéquat que la quotidienneté de la mise en œuvre repose sur une technologie fulgurante maîtrisée par les opérateurs eux-mêmes et qu’il s’agit ici de les superviser, et non pas de « réguler » un secteur. Certaines autorités concernées ont à la fois des pouvoirs de régulation, portant sur des secteurs à construire ou dont il faut maintenir les équilibres dans le temps, et des pouvoirs de supervision sur les opérateurs qui deviennent pour ce faire transparent à leur égard. Dans cette articulation issue d’un système de Compliance, il ne s’agit que d’articuler les pouvoirs de supervision sur les opérateurs cruciaux.

Pour que l’intersectoriel fonctionne bien, notamment via les réseaux européens des régulateurs nationaux, alors que le numérique n’est pas un secteur et qu’il ne s’agit que de superviser les opérateurs cruciaux du monde digital dont l’activité impacte des « personnes concernées », la Commission européenne est la plus propice à constituer ce qui serait la plaque tournante de l’intersectoriel européen dans une perspective de supervision des régulateurs numériques cruciaux. En son sein la DG Connect serait la plus à même d’être ce pilier de supervision d’un système de compliance ayant internalisé dans les opérateurs cruciaux la fonction d’effectivité des droits subjectifs des « personnes concernées » par la digitalisation du monde, opérateurs reconnus à ce titre comme régulateurs de second niveau.

Un tel mécanisme n’entrave pas l’innovation, au contraire : être supervisé et orienté vers certains buts qui rendent effectifs le Principe de Liberté, naturel à l’opérateur, et le Principe de Personne, qui peut l’être moins mais qu’ils gagneront à s’approprier, n’empêche en rien un opérateur d’innover. Au contraire, le Droit de la Compliance s’appuie sur la puissance des opérateurs cruciaux, institués en gardiens des Libertés et des Personnes. La dimension pédagogique très forte de la Compliance trouve dans le digital et chez ses opérateurs un terrain consubstantiel.

D’autres opérateurs cruciaux peuvent d’ailleurs naître dans ce nouvel écosystème institutionnel mais souple, non seulement en B to C mais en B to B car plus il y a d’opérateurs cruciaux et plus le mécanisme d’ensemble est solide!footnote-1642, dépassant la perspective immédiate des marchés pour se soucier davantage des infrastructures, la garde des données et leur partage entre entreprises, sous une supervision publique, pouvant montre que le Droit de la Compliance est alors – par un effet retour – une façon de revenir vers un « Droit de la Régulation », apte à construire en Europe des infrastructures de données entre entreprises, dès l’instant qu’elles soient supervisées par une Autorité de supervision, laquelle n’est ni une Autorité de régulation ni une Autorité de concurrence. La Compliance pallie alors l’absence d’Europe industrielle.

_____