📝L’originalité normative de la Compliance by design, in 🕴️M.-A. Frison-Roche (dir.), 📕Les outils de la Compliance

____

📕consulter une présentation générale de l'ouvrage, Les outils de la Compliance, dans lequel cet article est publié

____

► Résumé de l'article (fait par le Journal of Regulation & Compliance) : L'auteur développe l'idée que la Compliance by design représente une "originalité normative", en ce qu'elle vise, par une relation complexe entre l'obligatoire et le volontaire, à assurer l'effectivité des "normes premières" contenues dans les "buts monumentaux" fixés par les pouvoirs publics. La normativité de la Compliance by design est originale car ces procédés se situent dès la mise en place des processus techniques, ce à quoi renvoie l'expression "by design", ce qui renforce la dimension Ex Ante du Droit de la Compliance, l'informatique incrustant cette normativité dans les structures mêmes, par un mariage entre technologie et compliance.  

Il en résulte une application "automatisée" de la norme, intégrée dans un programme informatique, qui par exemple bloque l'accès à des données si l'usager n'a pas correctement exprimé son consentement, chaine d'événements mécaniquement provoqués par l'effet d'événements (ou non-évènements) précédents (comme dans les smart-contracts), ensemble fonctionnant en total Ex Ante, en dehors de toute perspective de sanction étatique crainte, la contrainte étant réintégrée dans l'aptitude technique.  Cette primauté de la technique pose la question de l'interprétation des normes ainsi incorporées, question que l'auteur laisse ouverte puisqu'elle pourrait mener à des machines qui "interprètent" elles-mêmes les normes.

Cette application automatisée est présentée comme plus "efficace", qualité essentielle dans l'atmosphère de Compliance puisqu'ainsi à la fois la norme ne dépend pas des acteurs privés et peut bénéficier de leur puissance technique. Mais l'on mesure aujourd'hui que l'auteur des normes techniques secondes insère lui-même des normes qui ne devraient être présentes qu'au premier niveau, l'entreprise insérant ses propres pratiques et valeurs, la Compliance by design relevant alors de l'autorégulation.  

Plus encore, l'auteur montre que dans la conception même de la norme, dans le design, la question est de désigner l'auteur de l'intégration de la norme dans l'algorithme et les modalités de l'insertion. L'auteur étant interne à l'entreprise, cela constituerait une privatisation de la norme, puisque la norme même seconde ne peut pas être totalement dépourvue d'insertion de valeurs, la Compliance bouleversant donc l'organisation des sources du Droit. Dans une situation que  l'auteur désigne comme une "inconnue", sauf à ce qu'apparaissent des "juristes-codeurs", le juriste est disqualifié par son incapacité technique puisqu'il s'agit d'une insertion technologique, la translation du juridique vers l'algorithme, par la traduction en code informatique puis l'insertion dans l'architecture informatique de l'entreprise, transformation la règle juridique. Par exemple par le choix de la sévérité de la sanction mécanique choisie au niveau secondaire pour donner effectivité à une interdiction édictée au niveau premier. L'auteur montre ainsi que ce contrôle d'effectivité des normes de premier niveau, contrôle d'effectivité qui est mis en place au second niveau, impacte directement les normes de premier niveau. Par exemple décider de demander l'autorisation, ou l'expression d'un consentement, ou interdire l'accès, lorsqu'un contenu a été réprouvé par une norme de premier niveau, norme de premier niveau qui ne précise pas le mode de contrôle de cette réprobation que la Compliance by design doit y attacher. Or, la Compliance by design n'étant pas une autorégulation, les autorités publiques contrôlent sa mise en place et en oeuvre, comme le fit la CNIL à propos d'Androïd. Ce type de contrôle va se développer.