1 novembre 2020

Publications

1 novembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Due Process et Droit de la Compliance sur les données personnelles: mêmes règles car un seul objectif (TUE, Ordonnance du 29 octobre 2020, Facebook Ireland Ltd c / C.E.) (Due process and Personal Data Compliance Law: same rules, one Goal (TEU, Order, October 29, 2020, Facebook Ireland Ltd v/ E.C.)), Newsletter MAFR - Law, Compliance, Regulation, 1er novembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Lire l'interview donné par ailleurs de Marie-Anne Frison-Roche dans Actu-juridiques à propos de cet arrêt

 

Résumé de la news: 

Dans le cadre d’une procédure ouverte au fond pour comportements anticoncurrentiels, la Commission européenne a entre le 13 mars et le 11 novembre 2019 a requis de Facebook par trois fois des communications d’informations, réitérées dans une décision de mai 2020. 

Facebook le conteste  en allégeant que les documents demandés contiendraient des informations sensibles à caractère très personnels qu’une transmission à la Commission rendrait accessible à un nombre trop élargi d’observateurs, alors que "the documents requested under the contested decision were identified on the basis of wideranging search terms, (...) there is strong likelihood that many of those documents will not be necessary for the purposes of the Commission’s investigation (les documents demandés au titre de la décision attaquée ayant été identifiés sur la base de termes de recherche plus larges (...), il existe une forte probabilité que nombre de ces documents ne soient pas nécessaires aux fins de l’enquête de la Commission (our translation))".

La contestation évoque donc la méconnaissance des principes de nécessité et de proportionnalité, mais aussi de garanties procédurales (due process), puisque ces éléments probatoires sont recueillis sans protection et utilisés par la suite. En outre, Facebook invoque ce qui serait la violation du droit au respect des données personnelles de ses employés dont les courriels sont transférés. 

La Cour rappelle l'office du juge en la matière qui est contraint notamment par la condition d'urgence pour adopter une mesure provisoire, admissible en outre que s'il y a un dommage imminent et irréversible. Elle souligne que les Autorités publiques d'une part bénéficient d'une présomption de légalité lorsqu'elles agissent et que d'autre part elles peuvent obtenir et utiliser des données à caractère personne dès l'instant que cela est nécessaire à leur fonction d'intérêt public. De nombreuses allégations du demandeur sont rejetées comme étant hypothétiques.

Mais la Cour analyse l'ensemble des principes évoqués au regard du cas très concret. Or,  en croisant l'ensemble des principes et droits en cause,  la Cour estime que la Commission européenne n'a pas respecté le principe de nécessité et de proportionnalité en ce qui concerne les données personnelles très sensibles des employés, ses demandes élargissant le cercle des informations sans nécessité et d'une façon disproportionnalité dès l'instant que l'information en cause est très sensible (comme la santé des employés, les opinions politiques des tiers, etc.).  

Il convient donc de distinguer parmi la masse des documents exigés, pour lesquels la même garantie doit être accordée dans une technique de communication que dans une technique d'inspection, ceux qui sont transférables sans précaution supplémentaire et ceux qui, en raison de leur nature de données personnelles très sensibles, doivent faire l'objet d'une "procédure alternative". 

Celle-ci va prendre la forme d'un examen des documents considérés par le demandeur comme très sensibles et qu'il communiquera sur un support électronique distinct, par les agents de la Commission européenne , que l'on ne peut soupçonner à priori de détourner la loi. Cet examen se déroulera dans une "data room virtuelle", en présence des avocats de Facebook. En cas de désaccord entre le demandeur et les enquêtes, le différent pourra être porté devant le directeur de l’information, de la communication et des médias de la DG Concurrence de la Commission européenne.

___

On peut tirer trois leçons de cette ordonnance :

  1. Cette décision montre que le Droit processuel et le Droit de la Compliance ne sont pas en opposition,. L'on dit souvent que la Compliance garantit l'efficacité et le Droit processuel garantit les droits fondamentaux, la protection de l'un devant se traduire par la diminution de la garantie de l'autre. C'est faux. Comme le montre cette décision, à travers la notion-clé de protection des données personnelles sensibles (cœur du Droit de la Compliance) et le souci de la procédure (équivalence entre procédure de communication et d'inspection ; organisation contradictoire de l'examen des informations personnelles sensibles), l'on voit une nouvelle fois que les deux branches du Droit expriment le même souci ont le même objectif : protéger les personnes.
  2. Le juge est apte à trouver immédiatement une solution opératoire, en proposant une « procédure alternative » axée autour du principe du contradictoire et conciliant les intérêts de la Commission et de Facebook a montré qu’elle était capable d’apporter des solutions alternatives à celles dont elle suspend l'exécution, solution adaptée à la situation et qui fait l'équilibre entre les intérêts des deux parties en présence. 
  3. Le meilleur Ex Ante est celui qui anticipe l’Ex Post par la préconstitution des preuves. Ainsi l'entreprise doit être à même de démontrer ultérieurement le souci qu'elle a eu des droits des personnes, ici des employés, pour ne pas être entre dans la main des Autorités publiques de sanction. Cette culture probatoire en Ex Ante est requise non seulement des entreprises mais encore des Autorités publiques qui elles aussi doivent se justifier.  

__________

 

 

 

22 octobre 2020

Interviews

Référence complète: Frison-Roche, M.-A., "Health Data Hub est un coup de maître du Conseil d'Etat", interview réalisée par Olivia Dufour pour Actu-juridiques, Lextenso, 22 octobre 2020

Lire la news du 19 octobre 2020 de la Newsletter MAFR - Law, Compliance, Regulation sur laquelle s'appuie cette interview: Conditions for the legality of a platform managed by an American company hosting European health data​: French Conseil d'Etat decision 

Pour aller plus loin, sur la question du Droit de la Compliance en matière de protection des données de santé, lire la news du 25 août 2020: The always in expansion "Right to be Forgotten"​: a legitimate Oxymore in Compliance Law built on Information. Example of​ Cancer Survivors Protection 

19 octobre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Conditions de validité d'un contrat de gestion des données de santé entre une plateforme de droit public français et un entreprise de gestion de données, filiale d'une entreprise américaine : decision du Conseil d'Etat (Conditions for the legality of a platform managed by an American company hosting European health data​: French Conseil d'Etat decision), Newsletter MAFR - Law, Compliance, Regulation, 19 octobre 2020

 

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

_____

 

Résumé de la news : Dans son ordonnance de référé du 13 octobre 2020, Conseil national du logiciel libre (décision dite Health Data Hub), le Conseil d'Etat a déterminé les règles de droit gouvernant la possibilité de conférer la gestion de données sensible sur une plateforme à une entreprise non-européenne, à travers le cas particulier de l'arrêté et du contrat par lequel la gestion de la plateforme centralisant des données de santé pour lutter contre l'épidémie de Covid-19 a été confiée à la filiale irlandaise d'une entreprise américaine, en l'espèce Microsoft.

Le Conseil d'Etat a utilisé à titre principal la jurisprudence de la CJUE, notamment l'arrêt du 16 juillet 2020, dit Schrems 2, à la lumière duquel il a interprété et le droit français et le contrat liant le GIP et    

Le Conseil d'Etat a conclu qu'il n'était pas possible de transférer ces données aux Etats-Unis, que le contrat ne pouvait que s'interpréter ainsi et que les modifications de l'arrêté et du contrat sécurisé cela. Mais il a observé que le risque d'obtention par les Autorités publiques américain demeurait.

Parce que l'ordre public exige le maintien de cette plateforme et qu'il n'existe pas pour l'instant d'autre solution technique, le Conseil d'Etat a maintenu le principe pour l''instant de sa gestion par Microsoft, le temps qu'un opérateur européen soit trouvé. Pendant ce temps le contrôle de la CNIL, dont les observations ont été prises en considération, sera opéré. 

 

 

L'on peut tirer trois leçons de cette décision de grande importante :

  • Il existe un parfait continuum entre l'Ex Ante et l'Ex Post, puisque par un référé, le Conseil d'Etat est parvenu à obtenir un modification de l'arrêté, une modification des clauses contractuelles par Microsoft et des propos engageant du Ministre pour que, le plus vite possible, la plateforme soit gérée par un opérateur Européen. Ainsi, parce que c'est du Droit de la Compliance, le temps pertinent du juge est le futur. 

 

  • Le Conseil d'Etat a mis la protection des personnes au cœur de tout le raisonnement, ce qui est conforme à la définition du Droit de la Compliance. Il a réussi à résoudre le dilemme : soit protéger les personnes grâce à la personne pour lutter contre le virus, soit protéger les personne en empêchant la centralisation des données et leur captation par les Autorités politiques américaines. Par une décision "politique", c'est-à-dire une action pour le futur, le Conseil a trouvé une solution d'attente pour protéger les personnes et contre la maladie et contre la dépossession de leurs données, en exigeant d'une solution européenne soit trouvée. 

 

  • Le Conseil d'Etat a mis en exergue la Cour de Justice de l'Union européenne comme l'alpha et l'oméga du Droit de la Compliance. En n'interprétant le contrat passé entre un Groupement d'intérêt public français et une filiale irlandaise d'un groupe américain qu'au regard de la jurisprudence de la Cour de Justice de l'Union européenne, le Conseil d'Etat montre que l'Europe souveraine des données peut se construire. Et que les juridictions sont au centre de cela. 

 

___________

 

Lire l'interview donnée à propos de cette Ordonnance Health Data Hub. 

 

Pour aller plus loin, sur la question du Droit de la Compliance en matière de protection des données de santé, lire la news du 25 août 2020: The always in expansion "Right to be Forgotten"​: a legitimate Oxymore in Compliance Law built on Information. Example of​ Cancer Survivors Protection 

6 octobre 2020

Base Documentaire : 05. CJCE - CJUE

Référence complète: CJUE, grande chambre, 6 octobre 2020,  Privacy International c/ Secretary of State for Foreign and Commonwealth Affairs, C-623/17. 

 

Lire l'arrêt

Lire le résumé de l'arrêt 

Lire les conclusions de l'avocat général

Lire la demande de décision préjudicielle présentée par le Investigatory Powers Tribunal - London (Royaume-Uni)

 

1 octobre 2020

Base Documentaire : Soft Law

Référence complète des lignes directrices: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux "cookies et autres traceurs") et abrogeant la délibération n°2019-093 du 4 juillet 2019 

Référence complète de la recommendation: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs". 

Lire les lignes directrices

Lire la recommendation

Lire la présentation de cette recommendation et de ces lignes directrices par la CNIL

Lire le commentaire à ce propos de Marie-Anne Frison-Roche dans la Newsletter MAFR - Law, Regulation & Compliance du 1er octobre 2020

 

10 septembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Répondre à un email contenant de "sérieuses anomalies", transférant des données personnelles, bloque le remboursement par la banque : décision de la Cour de Cassation, 1er juillet 2020 (Responding to an email with "serious anomalies"​,transferring personal data, blocks reimbursement by the bank: French Cour de cassation, July 1st 2020), Newsletter MAFR - Law, Compliance, Regulation, 10 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

Résumé de la news

Le "phishing" est une forme de cybercriminalité visant à obtenir, par des courriels frauduleux ressemblant à ceux pouvant provenir d'organismes légitimes, des informations personnelles du destinataire afin d'usurper son identité et/ou de le voler. Comme il est difficile d'en trouver les auteurs et encore plus de prouver leur intentionnalité afin de les punir directement, un des moyens de lutter contre le phishing peut être de confier la charge aux banques de sécuriser leur réseau d'information et, afin d'assortir cette obligation d'une forte incitation, de les condamner à rembourser les victimes en cas de vol de leurs données personnelles. 

En 2015, un client victime de ce type d'escroquerie a demandé à sa banque, le Crédit Mutuel, de lui rembourser la somme dérobée, ce que la banque refuse de faire au motif que le client avait commis une faute en transférant ses informations confidentielles sans vérifier l'e-mail pourtant grossièrement contrefait. Le tribunal de première instance donne raison au client parce que bien qu'ayant commis cette faute, il était de bonne foi. Ce jugement est annulé par la Chambre commerciale de la Cour de cassation par un arrêt du 1ier juillet 2020, qui pose que cette négligence grave, exclusive de toute considération de bonne foi, justifie l'absence de remboursement par la banque.

___

 

De ce cas particulier, on peut tirer trois leçons

1. La Cour de Cassation pose que la bonne foi n'est pas un critère pertinent et que, de la même façon que la banque doit réagir lorsqu'un compte bancaire est objectivement anormal, le client doit réagir face à un email manifestement anormal. 

 

2. La Cour de Cassation décrit la répartition des charges de preuve. Les obligations probatoires sont alternativement réparties entre la banque et son client. En premier lieu, la banque doit sécuriser son réseau d'information mais en second lieu le client  doit prendre toute mesure raisonnable pour en préserver la sécurité. Il en résulte que, si l'email reçu par le client semble normal, les dommages du phishing sont à la charge de la banque, et plus généralement de l'entreprise, tandis que s'il est manifestement anormal, ils sont à la charge du client, mais la charge de prouver l'anomalie du courriel incombe à l'entreprise et non au client. 

3. Un tel système probatoire montre que Droit de la Compliance inclut une mission pédagogique en éduquant chaque client afin qu'il soit à même de distinguer au sein de ses emails, ceux qui relèvent d'un caractère normal et ceux qui sont "manifestement suspects". Cette dimension pédagogique, avec les conséquences juridiques qui lui sont attachées, ne va cesser de s'accroitre.

______

2 septembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Pour réguler ou superviser, des compétences techniques sont requises: exemple de la création du "Pôle d'expertise de la régulation numérique" (For regulating or supervising, technical competence is required: example of the French creation of the "Pôle d'expertise de la régulation numérique"​), Newsletter MAFR - Law, Regulation, Compliance, 2 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Regulation, Compliance

 

Résumé de la news

Par un décret du 31 août 2020, le gouvernement a créé un service à compétence nationale dénommé "Pôle d'expertise de la régulation numérique (PEReN)". Celui-ci a pour but de fournir aux services de l'Etat une expertise technique dans les domaines de l'informatique, de la science des données et des processus algorithmiques afin de les assister dans leur rôle de contrôle, d'enquêtes ou d'étude. L'objectif est de favoriser le partage d'information entre représentants de la recherche et les services de l'Etat en charge de réguler le numérique. 

Comme son acronyme l'indique, ce pôle d'expertise a vocation à manifester de la constance dans un monde en perpétuel changement. Par ailleurs, en plus d'être à compétence nationale, cet organisme s'inscrit dans une dimension transversale, son décret de création ayant été signé à la fois par le Premier ministre, le ministre de l'Economie, le ministre de la Culture et le ministre de la Transition Numérique. La création d'un tel pôle témoigne de la prise de conscience du gouvernement de l'importance de la compétence technique dans la régulation du numérique et de la nécessité de centraliser ces expertises en un seul et même organe. 

Toutefois, comme l'indique le décret, ce pôle d'expertise ne pourra être consulté que par les "services de l'Etat", ce qui exclut les régulateurs qui sont des autorités administratives indépendantes de l'Etat et qui pourraient mettre le pôle d'expertise en conflit d'intérêt s'ils venaient à le saisir et les tribunaux alors même que ceux-ci sont appelés à jouer un rôle central dans la régulation du numérique et qu'ils sont habilités à requérir l'avis du régulateur sur certains dossiers. Mais, si les régulateurs ne peuvent saisir le PEReN, à qui bénéficie-t-il mis à part au législateur et à quelques fonctionnaires?

Il aurait donc mieux fallut que ce pôle d'expertise soit placé sous la direction des organes de régulation et de supervision, ce qui lui aurait permis de pouvoir être consulté à la fois par les régulateurs et par les juges, tous deux acteurs de premier plan de la régulation du numérique. 

31 août 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Compliance by design, une arme nouvelle? L'opinion de Facebook à propos des nouvelles dispositions techniques d'Apple pour protéger les données personnelles (Compliance by Design, a new weapon? Opinion of Facebook about Apple new technical dispositions on Personal Data protection), Newsletter MAFR - Law, Compliance, Regulation, 31 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

Résumé de la news:

Les données personnelles, en tant qu'elles sont des informations, sont un outil de Compliance. Elle représentent une ressource précieuse pour les entreprises qui doivent mettre en oeuvre un plan de vigilance afin de prévenir la corruption, le blanchiment d'argent ou le financement du terrorisme, par exemples. C'est la raison pour laquelle, les données personnelles sont la pierre angulaire des dispositifs de "Compliance by design". Cependant, l'utilisation de ces données ne peut pas dédouaner l'entreprise de son obligation simultanée de protéger ces mêmes données personnelles, ce qui est également un "but monumental" majeur du Droit de la Compliance. 

Afin de pouvoir exploiter ses données dans un objectif de Compliance tout en les protégeant, l'entreprise numérique Apple a par exemple adopté de nouvelles dispositions telles que l'exploitation de l'IDentifier For Advisers (IDFA) intégré à l'iPad ou à l'iPhone et largement utilisé par les entreprises de publicité ciblée soit conditionnée au consentement du consommateur.  

Facebook a vivement réagi à cette nouvelle disposition d'Apple en expliquant que de telles mesures allaient profondément restreindre l'accès des données aux démarcheurs publicitaires qui verraient ainsi leurs activités limitées. Facebook soupçonne Apple de vouloir bloquer l'accès aux autres entreprises publicitaires dans le but de développer son propre outil publicitaire. Facebook a assuré aux démarcheurs qui travaillaient avec lui qu'ils ne prendraient pas, pour sa part, de telles mesures et qu'il privilégiait toujours la consultation du secteur publicitaire avant ses prises de décisions afin de concilier au mieux les intérêts parfois divergents en présence. 

On peut dors-et-déjà formuler quelques remarques:

  • Le RGPD imposant aux entreprises numériques qu'elles garantissent un niveau de protection minimum des données personnelles ne s'applique pas aux Etats-Unis. Il est donc plus plausible qu'Apple ait agit par Responsabilité Sociale des Entreprises (RSE), plus que par obligation légale.
  • Le mode de régulation utilisé ici est la "régulation conversationnelle" théorisée par Julia Black. Effectivement, les régulateurs laissent les forces en présence "converser".
  • Cette "régulation conversationnelle" ne semble pas très efficace ici et une intervention des autorités administratives ou des juges pourrait se justifier par le biais du Droit de la Concurrence, de la Régulation ou de la Compliance, sachant que le Droit de la Concurrence privilégiera le droit d'accès à l'information et le Droit de la Régulation ou de la Compliance davantage le droit à la vie privée.

Tout le paradoxe du Droit de la Compliance réside donc dans l'équilibre entre circulation de l'information et secret.

27 août 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., "Interrégulation" entre les systèmes de paiements et la protection des données personnelles: comment organiser cette interaction? ("Interregulation"​ between Payments System and Personal Data Protection: how to organize this "interplay"​?), Newsletter MAFR - Law, Compliance, Regulation, 27 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

Résumé de la news

Le Droit de la Régulation, afin de reconnaître et de tirer les conséquences de la spécificité de certains objets, a au départ été construit autour de la notion de secteur technique bien que la délimitation de ceux-ci relève en partie d'un choix politique. Mais, dans les faits, il existe de multiples points de contact entre ces secteurs, les acteurs se déplaçant de l'un à l'autre tout comme certains objets. La solution régulatoire est donc d'enjamber certaines frontières techniques par la méthodologie de l'interrégulation qui est par ailleurs la seule à permettre la régulation de certains phénomènes dépassant la notion de secteur et relevant donc du Droit de la Compliance.

Cette news prend l'exemple des entreprises fournissant de nouveaux services de paiement. Afin qu'elles puissent délivrer ces services en question, ces entreprises ont besoin d'accéder aux comptes bancaires des personnes concernées et donc à des données personnelles à caractère très sensibles. La régulation d'une telle configuration nécessite donc une coopération entre le régulateur bancaire et le régulateur des données personnelles. La législation n'étant pas suffisante pour organiser en Ex Ante cette interrégulation, l'European Data Protection Board (EDPB et régulateur européen des données personnelles) a publié des lignes directrices le 17 juillet 2020 sur la manière dont elle concevait l'articulation entre le PSD2 (directive européenne sur les services de paiement) et le RGPD (Règlement Général pour la Protection des Données) et annonçait qu'elle comptait élargir le cercle de ces interlocuteurs pour opérer cette interrégulation. Une telle initiative de la part de l'EDPB se justifie par l'incertitude quant à la manière d'interpréter ces deux textes et de les articuler l'un avec l'autre. 

21 août 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Etre obligé de déverrouiller son téléphone n'est pas équivalent à s'auto-incriminer: Cour de Cassation, Chambre criminelle, 19 décembre 2019, (Being obliged by Law to unlock telephone is not equivalent to self-incrimination: Cour de cassation, Criminal Chamber, Dec. 19, 2019), Newsletter MAFR - Law, Compliance, Regulation, 21 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

Résumé de la news

La Cour de Cassation a rendu une décision le 19 décembre 2019 à propos d'une affaire concernant le refus de la part d'un citoyen de communiquer le code de déverrouillage de son téléphone portable à la police alors que celle-ci l'avait trouvé en possession d'une quantité significative de drogue et de beaucoup d'argent liquide et qu'il existait une probabilité certaine que ledit téléphone contienne des informations qui aurait pu constituer des preuves de la culpabilité de son propriétaire. L'individu en question a été inculpé non pas pour trafic de drogue mais pour avoir refusé de communiquer son code de déverrouillage et donc pour infraction à l'article 434-15-2 du code pénal, issu de la loi du 3 juin 2018 renforçant la lutte contre la criminalité organisée, et le terrorisme et leur financement.

L'accusé invoque devant la cour son droit à ne pas s'auto-incriminer. Effectivement, la configuration face aux policiers était telle que s'il refusait de communiquer son code de déverrouillage, il serait sanctionné au motif de cette obligation de communiquer son code et que s'il acceptait, il se serait également retrouvé sanctionné au vu des preuves contenues dans le téléphone portable. Une telle configuration ne lui offrait donc pas d'alternative à l'aveu, ce qui est contraire à la Convention Européenne des Droits de l'Homme et à la jurisprudence européenne et nationale.

Face à un tel cas, la Cour de Cassation a choisi de segmenter les différentes informations en présence et a donc proposé la solution suivante: si les informations recherchées ne peuvent être obtenues indépendamment de la volonté du suspect, il n'est pas possible de contraindre cette personne à communiquer la dite information sans violer ses droits procéduraux, mais si les informations peuvent être obtenues indépendamment de la volonté du suspect, alors l'individu est dans l'obligation de communiquer son code. Dans le cas présent, comme il était possible pour les forces de l'ordre d'obtenir les information contenues dans le téléphone par des moyens techniques, certes plus longs mais existants, alors le refus de communication du code de verrouillage par le suspect constitue une obstruction qu'il convient de sanctionner. 

Une telle décision est un exemple de conciliation par le juge des deux "buts monumentaux" fondamentaux mais contradictoires du Droit de la Compliance: la transparence de l'information vis-à-vis des autorités publiques et la protection des données personnelles à caractère sensible. 

___

Pour aller plus loin, lire le document de travail de Marie-Anne Frison-Roche: Repenser le monde à partir de la notion de donnée

16 janvier 2020

Base Documentaire : Doctrine

Référence complète: Féral-Schuhl, C., Cyberdroit. Le Droit à l'épreuve de l'internet, Collection Praxis Dalloz, Dalloz, 8e édition, 2020, 1731p.

Lire la quatrième de couverture

Lire la table des matières

16 novembre 2019

Publications

Le projet de loi de Finance a . proposé au Parlement de voter un article 57 dont l'intitulé est : Possibilité pour les administrations fiscales et douanières de collecter et exploiter les données rendues publiques sur les sites internet des réseaux sociaux et des opérateurs de plateformes. 

Son contenu est en l'état du texte voté à l'Assemblée Nationale le suivant :

"(1) I. - A titre expérimental et pour une durée de trois ans, pour les besoins de la recherche des infractions mentionnées aux b et c du 1 de l'article 1728, aux articles 1729, 1791, 1791 ter, aux 3°, 8° et 10° de l’article 1810 du code général des impôts, ainsi qu’aux articles 411, 412, 414, 414-2 et 415 du code des douanes, l’administration fiscale et l’administration des douanes et droits indirects peuvent, chacune pour ce qui la concerne, collecter et exploiter au moyen de traitements informatisés et automatisés n’utilisant aucun système de reconnaissance faciale les contenus, librement accessibles, publiés sur internet par les utilisateurs des opérateurs de plateforme en ligne mentionnés au 2° du I de l'article L. 111-7 du code de la consommation.

(2) Les traitements mentionnés au premier alinéa sont mis en œuvre par des agents spécialement habilités à cet effet par les administrations fiscale et douanière.

(3) Lorsqu’elles sont de nature à concourir à la constatation des infractions mentionnées au premier alinéa, les données collectées sont conservées pour une durée maximale d’un an à compter de leur collecte et sont détruites à l’issue de ce délai. Toutefois, lorsqu’elles sont utilisées dans le cadre d'une procédure pénale, fiscale ou douanière, ces données peuvent être conservées jusqu’au terme de la procédure.

(4) Les autres données sont détruites dans un délai maximum de trente jours à compter de leur collecte.

(5) Le droit d'accès aux informations collectées s'exerce auprès du service d'affectation des agents habilités à mettre en œuvre les traitements mentionnés au deuxième alinéa dans les conditions prévues par l'article 42 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

(6) Le droit d'opposition, prévu par l'article 38 de la même loi, ne s'applique pas aux traitements mentionnés au deuxième alinéa.

(7) Les modalités d'application du présent I sont fixées par décret en Conseil d’État.

(8) II. - L'expérimentation prévue au I fait l'objet d'une évaluation dont les résultats sont transmis au Parlement ainsi qu’à la Commission nationale de l’informatique et des libertés au plus tard six mois avant son terme."

 

Cette initiative a provoqué beaucoup de commentaires, plutôt réservés, même après les explications données par le ministre du Budget à l'Assemblée Nationale. 

Qu'en penser juridiquement ?

Car la situation est assez simple, c'est pourquoi elle est difficile : d'un côté, l'Etat va capter des informations personnelles sans l'autorisation des personnes concernées, ce qui est contraire à l'objet même de la loi de 1978, ce qui entraîne une pleine désapprobation ; de l'autre côté, l'administration obtient les informations pour poursuivre des infractions fiscales et douanières, ce qui concrétise l'intéret général lui-même.

Alors qu'en penser ?

Lire ci-dessous.

Mise à jour : 4 juillet 2019 (Rédaction initiale : 30 avril 2019 )

Publications

  Référence complète : Frison-Roche, M.-A., Se tenir bien dans l'espace numérique, document de travail, avril 2019.

____

📝 Ce document de travail sert de base à un article paru ultérieurement dans les Mélanges en hommage à Michel Vivant.

 

Résumé : Le juriste voit le monde à travers la façon dont il apprit à parler!footnote-1536, vocabulaire juridique lui-même agencé, que l'on soit en common law ou en civil law, en branche du droit. Ainsi, nous pensons avoir affaire à l'être humain qui ne bouge pas, pris par la notion juridique exprimée par le terme de "personne", son état, son corps et son développement biologique dans le temps, du bébé au mourant, tenant entièrement dans ce creux de ce mot-là "personne", tandis que les comportements de l'être humain à l'égard du monde, des autres et des choses, sont regroupés dans d'autres branches du Droit : le Droit des obligations et le Droit des biens, lequel n'est que ce que les personnes font des choses. 

Le Droit de l'environnement est déjà venu brouiller cette distinction, si habituelle mais à la réflexion si étrange d'une personne prise tout d'abord dans son isolement immobile (droit des personnes), puis ensuite dans ses seules actions (droit des obligation et des biens). En effet, la notion même d' "environnement" pose que la personne n'est pas isolée, qu'elle est "environnée", qu'elle est ce qu'elle est et deviendra en raison de ce qui l'entoure, et qu'en retour le monde est durablement affecté par son action personnelle. A la réflexion, lorsque jadis le "Droit des personnes" ne se distinguait pas du Droit de la famille, l'être humain y était plus pleinement restitué par un découpage du Droit qui non seulement le suivait de la naissance à la mort mais encore dans ses interactions les plus précieuses : les parents, les fratries, le couple, les enfants. Ainsi le Droit de la famille était plus fin et plus fidèle à ce qu'est la vie d'un être humain.

Avoir institué le Droit des personnes, c'est donc avoir promu de l'être humain une vision certes plus concrète, car c'est avant tout de son identité et de son corps que l'on nous parle, s'étonnant que l'on n'a précédemment remarqué que les femmes ne sont pas des hommes comme les autres!footnote-1537 sans pourtant retenir que l'abstraction est parfois la meilleure des protections!footnote-1538 . Mais c'est aussi avoir isolé les êtres humains, scindés de ce qu'il font, de ce qu'ils touchent, de ce qu'ils disent aux autres. C'est en avoir pris juridiquement une perception statique d'un "homme sans relation".  Nous sommes passés de l'individualisme juridique du Droit de l'être seul. 

De cette vision concrète, nous en avons tous les bénéfices mais le Droit, beaucoup plus qu'au XVIIIème siècle, perçoit l'être humain comme un sujet isolé, dont la corporéité cesse d'être voilée par le Droit!footnote-1570, mais pour lequel la relation à autrui ou aux choses ne le définit pas. Ce qui le rapproche beaucoup des choses. Un sujet qui fait ce qu'il veut, comme il peut, limité par la force des choses. Les choses sont si puissantes et l'être humain, de fait, si faible. Par exemple les marques qu'il laisse sont effacées du fait du temps. L'emprise qu'il a sur le monde s'arrête à l'ampleur de son savoir, du temps et de l'argent dont il dispose, des machines qu'il a construites pour mieux utiliser son propre temps et atteindre des projets qu'il a conçus. Dans cette conception, la Personne et la Liberté ne font qu'un, renvoyant le sujet à sa solitude.

Cette liberté va buter sur le besoin d'ordre, exprimé par la société, le contrat social, l'Etat, le Droit, qui impose des limites à la liberté de l'un pour préserver celle de l'autrui, comme le rappelle la Déclaration des droits de 1789. Ainsi, tout désir n'est pas transformable en action, alors même que de fait les moyens seraient à la portée de la personne en cause, parce que certains comportements sont interdits en ce qu'ils causeraient trop de désordre et, s'ils sont néanmoins commis, ils sont sanctionnés pour que l'ordre revienne. Ainsi, ce que l'on pourrait appeler le "droit des comportements", obligations de faire et de ne pas faire logées dans le droit pénal, civil et administratif, droits nationaux et internationaux, droits substantiels et droits procéduraux, vont contraindre l'être humain en mouvement dans l'espace ouvert par le principe de liberté inhérent à son statut de Personne. 

L'être humain est donc limité dans ce qu'il désire faire. En premier lieu par le fait : ses forces qui s'épuisent, sa mort qui viendra, le temps compté, l'argent qui manque, les connaissances qu'il ne sait pas même ne pas détenir, c'est-à-dire par son humanité même; En second lieu par le Droit qui lui interdit tant d'actions.... : ne pas tuer, ne pas voler, ne pas prendre le conjoint d'autrui, ne pas faire passer pour vrai ce qui est faux, etc. Pour l'être humain en mouvement, plein de vie et de projets, le Droit a toujours eu un côté "rabat-joie". Il est pour cela souvent moqué et critiqué en raison de toutes ses réglementations entravantes, voire détesté ou craint en ce qu'il empêcherait de vivre selon son désir, qui est toujours mon "bon plaisir", bon puisque c'est le mien. Isolé et tout-puissant, l'être humain seul ne voulant pas considérer autre que son désir seul. 

La psychanalyse a pourtant montré que le Droit, en ce qu'il pose des limites, assigne à l'être humain une place et une façon de se tenir à l'égard des choses et des autres personnes.  Si l'on ne se tient plus, en s'interdisant la satisfaction de tout désir (le premier de ceux-ci étant la mort de l'autre), la vie social n'est plus possible!footnote-1571. Chacun suit la même loi à table, à l'abri de laquelle une discussion peut s'engager entre convives et sans laquelle elle ne le peut pas!footnote-1539. On se tient droit sur sa chaise, on ne mange pas avec les doigts, on ne parle pas la bouche pleine, on n’interrompt pas celui qui parle. Certes, on apprend souvent en début d'apprentissage du Droit qu'il ne faut pas confondre la "politesse" et le Droit. Que ces règles précitées relèvent de la politesse et que cela n'est pas du Droit...

Mais cette présentation vise à faire admettre que le critère du Droit serait dans l'effectivité d'une sanction par la puissance publique : l'amende, la prison, la saisie d'un bien, ce que l'impolitesse ne déclenche pas alors que le Droit l'impliquerait : nous voilà ainsi  persuadés de l'intimité entre la puissance publique (l’État)  et le Droit. Mais plus tard, après cette première leçon apprise, le doute vient de la consubstantialité entre le Droit et l’État. Ne convient-il pas plutôt estimer que le Droit est ce qui doit conduire chacun à "bien se tenir" à l'égard des choses et des personnes qui l'environnent ? La question de la sanction est importante, mais elle est seconde, elle n'est pas la définition même du Droit. Carbonnier soulignait que le képi du gendarme est le "signe du Droit", c'est-à-dire ce à quoi on le reconnait sans hésiter, ce n'est pas sa définition.

La question première sur laquelle porte le Droit n'est alors pas tant la liberté de la personne que la présence d'autrui. Comment utiliser sa liberté et le déploiement associé de force en présence d'autrui ? Comment ne pas l'utiliser alors qu'on désire lui nuire, ou que la nuisance née pour lui de l'usage de ma force libre m'est indifférente!footnote-1540 ? Comment le Droit peut-il conduire à ce que j'utilise mes moyens à son bénéfice alors que nos intérêts ne convergent pas ? 

Nous n'utilisons pas notre force contre autrui parce qu'on y a intérêt ou le désir, on ne lui apporte pas le soutien de notre force alors qu'il nous indiffère, parce que le Droit nous tient. Si le surmoi n'a pas suffi. Si le Droit et la "fonction parentale des États" n'ont pas fait alliance. On le faisons parce que nous nous "tenons". 

Ou plutôt nous nous tenions.

Car aujourd'hui un monde nouveau est apparu : le monde numérique qui permet à chacun de ne pas "se tenir", c'est-à-dire de maltraiter en permanence autrui, de ne jamais le prendre en considération, de l'agresser massivement. C'est une expérience nouvelle. Il ne s'agit pas d'un phénomène pathologique, comme l'est la délinquance (ce qui amène simplement sanction), ni d'une défaillance structurelle dans un principe par ailleurs admis (ce qui amène régulation) mais plutôt un usage nouveau, qui vaudrait règle nouvelle : dans l'espace digital, on peut faire tout et n'importe quoi, l'on n'est pas tenu par rien ni personne, l'on peut "se lâcher" (I). Cette absence de "tenue" est incompatible avec l'idée de Droit, en ce que celui est fait pour les êtres humains et protéger ceux qui n'ont pas les moyens de se protéger par eux-mêmes ; c'est pourquoi il faut y remédier (II).

1

Cornu, G., Linguistique juridique, 2005. 

2

Frison-Roche, M.-A. et Sève, R., Le Droit au féminin (dir.), 2003.

3

Sous le masque du "sujet de droit", nous sommes tous égaux, v. Archives de Philosophie du Droit, Le sujet de droit, 1989.

4

Baud, J.P., L'affaire de la main volée. Histoire juridique du corps humain, Le Seuil, 1993. 

5

Sur la névrose comme mode constitutif de la sociabilité de l'enfant, v. Lebovici, S., "C'est pas juste", in La justice. L'obligation impossible, 1994. 

6

Lire l'article d'Alain Supiot sur la Loi commune et la discussion, appréhendée à travers l'oeuvre de Kafka : "Kafka, artiste de la loi", 2019; Kafka est très présent dans l'oeuvre d'Alain Supiot, par exemple dans sa leçon inaugurale au Collège de France, 2012. 

7

C'est pourquoi avoir scindé Droit de la personne et Droit de la famille masque encore une autre réalité : la famille n'est pas composée de tiers. Les liens sont là. Ils préexistent. En partant du seul Droit des personnes, l'on peut "construire" sa famille par des liens dessinés sur feuille blanche : la contractualisation des familles composées d'individus devient pensable, voire naturelle.

17 avril 2019

Enseignements : Droits sectoriels de la régulation, semestre de printemps 2019-2020

Même si l'expression de "régulation du numérique" est extrêmement courante, elle ne va pas du tout de soi, si l'on respecte le sens précis des mots. L'idée même de réguler cet espace contredit son origine, des principes américains - comme la liberté d'expression, ou des soucis économiques - comme l'innovation, qui renvoie plutôt vers l'Ex Post que vers l'Ex Ante auquel est toujours associé le Droit de la Régulation. En outre, le numérique peut être difficilement qualifié de "secteur", ce qui paraît mener à une impasse. 

C'est pourquoi pour l'instant en premier lieu l'on s'appuie sur l'efficacité relative mais non inexistante de l'Ex Post, du droit pénal et du droit civil mais surtout l'on fait mener en première ligne le Droit de la concurrence, à la fois dans son utilisation Ex Post de mesures comportementales (obligation d'accès notamment) et dans sa partie Ex Ante qu'est le contrôle des concentrations. En outre les Régulateurs sectoriels ne sont pas arrêtés par l'immatérialité du numérique et utilisent leur pouvoir de sanction, notamment quant à l'usage des données.

Car c'est autout de la notion de "donnée" qu'une "gouvernance" pourrait prendre forme en matière numérique. Il pourrait s'agit d'internaliser dans des opérateurs numériques, en tant qu'ils tiennent mondialement le secteur, des obligations pour autrui, en trouvant un juste milieu entre une "Régulation à la californienne" basée sur des consentements mécaniques et une "Régulation à la chinoise" dans laquelle l'Etat tient tout. 

Pour cela, de la même façon que le Droit de la Régulation reconcrétise le monde que le marché concurrentiel ayant pour seul critère ultime le prix, une gouvernance par la Compliance pourrait reconcrétiser le monde digitalisé par le numérique en distinguant dans une catégorie abusivement unifiée de "data" plusieurs sortes de data. L'Europe en a donné l'exemple à travers la Régulation internalisée par le Droit de la Compliance dans les entreprises lorsque les data "concerne" les personnes.

L'on peut analyser la décision rendue par la CNIL, Google le 21 janvier 2019

 

Consulter les slides servant de support à la leçon.

Revenir à la présentation générale du Cours.

Consulter la bibliographie générale du Droit commun de la Régulation

Consulter le Dictionnaire bilingue du Droit de la Régulation et de la Compliance

 

26 octobre 2018

Base Documentaire : Doctrine

Référence complète : Rabagny-Lagoa, A., La conformité dans le règlement UE n° 2016/679, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, in Petites Affiches, octobre 2018, n°215, pp. 8-14.

 

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance".

Mise à jour : 8 septembre 2018 (Rédaction initiale : 30 avril 2018 )

Publications

   Ce document de travail avait vocation à servir de support à une conférence dans le colloque Droit & Ethique du 31 mai 2018 dans un colloque organisé par la Cour de cassation et l'Association française de philosophie du Droit sur le thème général Droit & Ethique

Voir une présentation de la conférence

Il a plutôt servi de support à l'article paru dans les Archives de Philosophie du Droit (APD).

 

   Résumé : C'est par le Droit que l'être humain a acquis en Occident une unité (I). Ce que la Religion avait pu faire, le Droit l'a également fait en posant sur chaque être humain la notion indétachable de lui de "personne"(I.A). Mais c'est cela qui est remis en cause aujourd'hui, non pas la personnalité et le pouvoir que l'être humain a d'exprimer sa liberté mais l'unité que cela implique dans la disposition que l'on a de soi en repoussant le désir qu'autrui a toujours eu de disposer de nous. Le Droit actuel tend en effet à "pulvériser" les êtres humains en données et à transformer en prestations juridiques neutres ce qui était considéré comme de la dévoration d'autrui. La notion juridique de "consentement", cessant d'être une preuve d'une volonté libre mais devenue une notion autonome, y suffirait (I.B.).

Pour empêcher que ne règne plus que la "loi des désirs", laquelle ne fait que traduire l'ajustement des forces, il faut requérir ici et maintenant  la souveraineté éthique du Droit, parce que le Droit ne peut pas être qu'une technique d'ajustement des intérêts (II). L'on peut former cette requête si l'on ne veut pas vivre dans un univers a-moral (II.A), si l'on constate que l'unité de la personne est l'invention juridique qui protège l'être humain faible (II.B.). Si on en admet l'impératif, il faut alors se demander enfin qui en Droit va l'exprimer et l'imposer, notamment de la Loi, ou du Juge, car nous semblons avoir perdu la capacité de rappeler ce principe de la Personne sur laquelle l'Occident fut si centré. Or, les principes qui ne sont plus dits disparaissent. Il ne resterait plus alors que l'ajustement au cas par cas des intérêts entre êtres humains dans le champ mondial des forces particulières. A cette aune, le Droit ne serait plus qu'une technique de sécurisation des ajustements particuliers. Réduit à cela, Le Droit aurait perdu son lien avec l'Ethique.   (II.C).

 

Lire ci-dessous les développements.

11 juillet 2018

Base Documentaire : Doctrine

Complete reference : Randell, Ch., How can we ensure that big Data does not make us prisoners of technology ?, Reuters Newsmaker event, London, 2018.

 

To read the speech.

3 juillet 2018

Base Documentaire : Doctrine

Référence complète : Canac, J.-M., et Teller, M., De la rule of law à la rule by code : la blockchain, un projet faustien ?, in Études en l'honneur de Philippe Neau-Leduc, Le juriste dans la cité, coll. « Les mélanges », LGDJ- Lextenso,  2018, pp.181-188.

 

 

Lire une présentation générale dans lequel l'article est publié.

4 juin 2018

Base Documentaire : Doctrine

Référence complète : Chaltiel, F., La protection des données personnelles. À propos de l'entrée en vigueur  du règlement général de protection des données, in Petites Affiches, Lextenso, juin 2018, pp. 6-22.

 

Le 25 mai 2018 doit marquer le début d'un nouvel âge des droits numériques de chacun. Le règlement général de protection des données, dont la préparation remonte à plusieurs années, doit en effet entrer en vigueur en mai 2018.

Il tire les conséquences de plusieurs décennies de progrès du numérique et vise à assurer, dans un cadre technique inédit à l'échelle de l'histoire de la communication, une protection renforcée des données.

Les obligations sont nombreuses, il n'est pas certain que les acteurs concernés soient en mesure de garantir l'ensemble de ces droits dans le délai imparti. Le nouveau droit fondamental de la protection des données personnelles est sans doute un des défis juridiques majeurs des années à venir pour nos sociétés.

 

22 mai 2018

Base Documentaire : Doctrine

Référence complète : Zolynski, C., Compliance et droit des données personnelles in Borga, N., Marin, J.-Cl. et Roda, J.-Cl. (dir.), Compliance : l'entreprise, le régulateur et le juge, Série Régulations & Compliance, Dalloz, 2018, pp. 129-136.

 

Lire une présentation générale de l'ouvrage dans lequel est publié l'article.

Consulter les autres titres de la Série dans laquelle est publié l'ouvrage.

15 mai 2018

Base Documentaire : Doctrine

Référence complète : Moreaux, A., Comment se conformer au RGPD ?,  in Affiches Parisiennes, mai 2018, pp. 1-3.

 

L'échéance du fameux Règlement général sur la protection des données approche. Pour Mounir Mahjoubi, secrétaire d'État au Numérique, « 2018 est l'année du RGPD » qui va entraîner un « véritable choc de sécurité » sur la toile. La mise en conformité avec le nouveau règlement européen sur le digital qui entre en vigueur le 25 mai est une question centrale pour les entreprises.

 

Pour consulter l'article.

 

14 mai 2018

Base Documentaire : Soft Law

Référence générale : CNIL, RGPD et TPE/PME : un nouveau modèle de registre plus simple et plus didactique

Lire le document. 

12 avril 2018

Base Documentaire : Doctrine

Référence complète : Espace de réflexion éthique de Normandie (EREN), Le don de gamètes : quelles questions pour le XXIe siècle ?, in Petites affiches, Lextenso, avril 2018, pp. 5-9.

 

 

Parmi les sujets débattus dans le cadre des États généraux de la bioéthique, l’assistance médicale à la procréation et le don de gamètes soulèvent de nombreuses questions. Un débat organisé à Caen, par l’Espace de réflexion éthique de Normandie, a permis de discuter des enjeux associés à une éventuelle levée de l’anonymat du don et à la possibilité d’accéder à certaines données informatives sur les donneurs de gamètes.

 

 

 

Les étudiants de Sciences-Po peuvent lire l'article via le Drive, dossier "MAFR- Regulation & Compliance"

24 novembre 2017

Base Documentaire : Doctrine

Référence complète : Derieux, E., Données à caractère personnel et communication publique . Règlement (UE) 2016/79 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données in Études en l'honneur du Professeur Jérôme Huet. Liber amicorum, LGDJ - Lextenso, 2017, pp. 127-138.

 

Consulter une présentation générale de l'ouvrage.

 

 

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance".