► Référence complète : E. Silva-Romero et R. Legru, "Quelle place pour la Compliance dans l'arbitrage d'investissement ?", in M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2023, p. 281-293. 

____

📕consulter une présentation générale de l'ouvrage, La juridictionnalisation de la Compliance, dans lequel cet article est publié

____

► Le résumé ci-dessous décrit un article qui fait suite à une intervention dans le colloque Compliance et Arbitrage, coorganisé par le Journal of Regulation & Compliance (JoRC) et l'Université Panthéon-Assas (Paris II). Ce colloque a été conçu par Marie-Anne Frison-Roche et Jean-Baptiste Racine, codirecteurs scientifiques, et s'est déroulé à Paris II le 31 mars 2021.

Dans l'ouvrage, l'article sera publié dans le Titre III, consacré à : Compliance et Arbitrage international.

____

► Résumé de l'article (fait par le Journal of Regulation & Compliance) :  Les auteurs soulignent la place nouvelle et grandissante de la Compliance dans l'arbitrage international, notamment dans l'exigence de respect des valeurs éthiques, puisque les arbitres peuvent y implémenter une morale qui manque parfois dans le commerce international, voire ne doivent mettre leur pouvoir qu'au service d'investisseurs qui respectent la Loi.

Ainsi la Compliance se déploie à travers le contrôle classique par les arbitres de la légalité de l'investissement, ce qui vaut à la fois pour l'établissement du traité lui-même et pour l'investisseur. D''une façon plus récente, l'arbitre peut contrôler à propos d'un projet d'investissement d'une social licence to operate de l'investisseur, notion liée à la responsabilité sociale des entreprises et apparue notamment pour la protection des peuples autochtones. Plus encore, la Compliance peut justifier une appréciation substantielle par l'arbitre du respect effectif des droits des personnes et de l'environnement via un traité d'investissement, l'Etat partie à celui-ci pouvant agir pour l'effectivité de ceux-ci. 

________

► Référence complète : M.-A. Frison-Roche, "Ajuster par la nature des choses le Droit processuel au Droit de la Compliance", in M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2023, p. 251-262. 

____

📝lire l'article 

____

🚧lire le document de travail bilingue sur la base duquel cet article a été élaboré, doté de développements supplémentaires, de références techniques et de liens hypertextes

____

📕consulter une présentation générale de l'ouvrage, La juridictionnalisation de la Compliance, dans lequel l'article est publié

____

► Les éléments de cet article ont été présentés lors du colloque qui s'est tenu le 23 septembre 2021 à Dauphine, coorganisé par le Journal of Regulation & Compliance (JoRC) et l'Institut Droit Dauphine. 

Dans l'ouvrage, l'article est publié dans la partie II consacré au Droit processuel à l'œuvre dans le Droit de la Compliance. 

____

► Résumé de l'article (fait par le Journal of Regulation & Compliance) : Le Droit processuel est une invention, essentiellement due à Motulsky allant bien au-delà du gain que l'on a toujours à comparer des types de procédures entre elles. Comme il l'affirma, il y a du droit naturel dans le Droit processuel, en ce que dès l'instant qu'il y a un Etat de Droit il ne peut pas y avoir, quelle que soit la "procédure", voit le "procédé" telle et telle façon de faire : par exemple de décider, de saisir celui qui décide, d'écouter avant de décider, de contester celui qui décide.

Le Droit processuel tient donc à la nature des choses. Or le Droit de la Compliance organise les choses d'une façon nouvelle. C'est pourquoi tout à la fois les principes simples et d'airain du Droit processuel se glissent là où on ne les attend pas de prime abord, notamment parce qu'il n'y a pas de juge, ce personnage autour duquel d'ordinaire les procédures s'agencent. Ils s'imposent notamment dans les entreprises. Même si les réglementations n'en soufflent mot, c'est aux Juges, notamment aux Cours suprêmes de reconnaître cette nature des choses car sur cet effet de nature que le Droit processuel est construit : lorsque les mécanismes de compliance obligent les entreprises à frapper, le Droit processuel doivent obliger, même dans le silence des textes, à armer ceux qui peuvent être frappés, voire se dresse contre des dispositifs qui écarteraient trop ces défenses que l'on estime facilement contraires à l'efficacité (I).

Mais parce qu'il s'agit de faire place à cette nature des choses dont l'Etat de Droit confie la garde au Juge et à l'Avocat, le Droit processuel doit s'ajuster lui-aussi à ce qu'est l'extraordinaire Droit de la Compliance. En effet le Droit de la Compliance est extraordinaire en ce qu'il exprime la prétention politique d'agir dès maintenant pour que l'Avenir ne soit pas catastrophique, notamment en détectant et en prévenant la réalisation de risques systémiques, voire qu'il soit meilleur, en construisant notamment une égalité effective ou un souci réel d'autrui. Parce que c'est l'enjeu qui définit cette nouvelle branche du Droit, enjeu systémique disputé, éventuellement disputé par plusieurs parties devant un juge, les principes processuels doivent s'élargir considérablement : ils doivent alors inclure la société civile et l'avenir (II). 

Le Droit processuel acquiert ainsi naturellement une place plus encore que dans les branches classiques du Droit puisque d'une part il s'impose hors des procès, notamment dans les entreprises et que d'autre devant les juridictions il implique des personnes qui n'avaient guère leur mot à dire et qui entrent dans les "causes" de Compliance désormais débattues devant le Juge. 

________

► Référence complète : S. Merabet, "La vigilance, être juge et ne pas juger", in M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2023, p. 199-209. 

____

📕consulter une présentation générale de l'ouvrage, La juridictionnalisation de la Compliance, dans lequel l'article est publié

____

► Le résumé ci-dessous décrit un article qui fait suite à une intervention dans le colloque L'entreprise instituée Juge et Procureur d'elle-même par le Droit de la Compliance, coorganisé par le Journal of Regulation & Compliance (JoRC) et la Faculté de Droit Lyon 3. Ce colloque a été conçu par Marie-Anne Frison-Roche et Jean-Christophe Roda, codirecteurs scientifiques, et s'est déroulé à Lyon le 23 juin 2021.

Dans l'ouvrage, l'article sera publié dans le Titre I, consacré à  L'entreprise instituée Juge et Procureur d'elle-même par le Droit de la Compliance.

____

► Résumé de l'article (fait par l'auteur) : La vigilance présente deux dangers, diamétralement opposés. L’entreprise est prise entre deux feux. D’un côté, il y a un risque qu’elle exerce son rôle a minima, de sorte que les obligations qui lui sont imposées soient dépourvues d’effectivité, risquant par là même d’engager sa propre responsabilité. De l’autre, le danger consiste à ce que l’entreprise excède le rôle qui est le sien et se substitue au juge. La vigilance présente-t-elle toujours les mêmes dangers ? Implique-t-elle systématiquement le même rôle de l’entreprise ? Être vigilant, est-ce porter un jugement ? La réponse à ces questions dépend de la teneur des obligations que suppose la vigilance. Or, celles-ci semblent aujourd’hui très diversifiées.

Comment les distinguer les divers devoirs de vigilance ? Une première approche pourrait consister à envisager une identification formelle qui conduit à distinguer la vigilance stricto sensu, celle qui est envisagée par la loi Sapin 2 et identifiée comme telle, et les obligations qui s’y apparentent, comme par exemple le devoir de modération des entreprises sur les réseaux sociaux, qui sans être baptisé devoir de vigilance, s’en rapproche néanmoins. L’extension des obligations de compliance conduit à brouiller la frontière entre ce qui relève exactement de la vigilance ou non. Il convient de retenir une approche plus substantielle, pour envisager le degré de contrôle exercé par l’entreprise. Ainsi entendu, on peut alors envisager de distinguer deux catégories : la vigilance négative, qui implique l’identification d’un risque, et la vigilance positive, qui suppose plus encore la neutralisation du risque. La première suppose un rôle limité de l’entreprise, tandis que la seconde l’incite à agir positivement, avant même qu’une autorité ne se soit prononcée. Cette fois, le rôle de l’entreprise se rapproche de celui du juge. On comprend que toutes les obligations de vigilance ne sauraient donc être appréhendées de manière unitaire.

Dès lors que le l’entreprise est amenée — si ce n’est à se substituer au juge — à agir avant même qu’il n’ait l’occasion de se prononcer, alors il semble légitime d’encadrer la mise en œuvre du devoir de vigilance de l’entreprise, par une forme de procéduralisation de la compliance. L’entreprise comme ses salariés ou partenaires gagneraient à ce que la vigilance soit davantage encadrée. Dans la mesure où toutes les obligations de vigilance n’appellent pas le même rôle de l’entreprise, il convient d’envisager des principes directeurs de la vigilance, plus ou moins intenses selon qu’il s’agisse de vigilance positive ou négative.

________

► Référence complète : F. Raynaud, "Le juge administratif et la compliance", in M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2023, p. 473-478.

____

📕consulter une présentation générale de l'ouvrage, La juridictionnalisation de la Compliance, dans lequel cet article est publié

____

► Résumé de l'article (fait par le Journal of Regulation & Compliance) : L'auteur étudie les rapports étroits entre la Compliance et le Droit souple, tel que le Juge administratif a fait place à celui-ci dans sa jurisprudence. Ce fut notamment le cas par les arrêts du Conseil d'Etat de 2016, portant sur des sujets de Droit de la régulation, ce que prolonge le Droit de la compliance.

Ce souci d'internaliser dans les entreprises ce que veulent les autorités publiques avait d'ailleurs été pris en considération par le Conseil d'Etat par des petites touches à partir de 2010 et s'est continuellement étoffé.  C'est notamment le cas lorsque le document émis est "de nature à produire des effets notables, notamment de nature économique, ou ont pour objet d'influer de manière significative sur les comportements des personnes auxquelles ils s'adressent", ce qui rejoint directement les enjeux de compliance.  La nouvelle conception adoptée par le Conseil d'Etat a conduit celui-ci à contrôler de nombreuses "positions", "recommandations", "lignes directrices", etc., adoptées par de multiples Autorités notamment pour protéger les personnes sur lesquelles ces actes ont un "effet notable", n'hésitant pas parfois à censurer l'organisme émetteur.  Le droit souple en matière de compliance bancaire, plus spécifiquement émis par l'EBA, a donné au juge administratif l'occasion d'ajuster son contrôle avec celui-ci exercé par la Cour de Justice saisie par une question préjudicielle. 

Ainsi, "Par sa jurisprudence sur la justiciabilité des actes de droit de souple, le Conseil d’Etat s’affirme donc comme un acteur de la compliance en permettant aux entités visées par ces actes et soumises à leur égard à une obligation de compliance de saisir le juge administratif d’un recours en annulation contre ces actes, afin qu’ils puissent être soumis à un contrôle de légalité et, le cas échéant, annulés".

Mais faut-il que le juge administratif soit saisi. Il peut l'être dans de nouveaux domaines, par exemple en matière climatique, comme cela fut le cas dans l'affaire Grande Synthe.  Par sa décision, "Le Conseil d’Etat va ainsi au bout de la logique du dispositif mis en place par le législateur et par le pouvoir réglementaire pour mettre en œuvre les accords de Paris, lesquels reposent sur une forme de compliance à l’échelle mondiale, chaque Etat signataire s’engageant, en quelque sorte, à faire le nécessaire pour atteindre un objectif commun à une date donnée, à charge pour chacun de s’organiser pour l’atteindre. En l’absence d’un juge international capable de vérifier le respect de ces engagements, le juge national apparait le plus naturel pour accepter de vérifier, lorsqu’il est saisi d’un litige en ce sens, que ces engagements ne restent pas lettre morte. ".  

Par ce mouvement général, "La compliance est devenue un nouveau mode de régulation d’un nombre croissant d’activités. ". 

________

► Référence complète : J.-B. Racine, "Compliance et Arbitrage. Essai de problématisation", in M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2023, p. 265-279. 

____

📕consulter une présentation générale de l'ouvrage, La juridictionnalisation de la Compliance, dans lequel cet article est publié

____

► Le résumé ci-dessous décrit un article qui fait suite à une intervention dans le colloque Compliance et Arbitrage, coorganisé par le Journal of Regulation & Compliance (JoRC) et l'Université Panthéon-Assas (Paris II). Ce colloque a été conçu par Marie-Anne Frison-Roche et Jean-Baptiste Racine, codirecteurs scientifiques, et s'est déroulé à Paris II le 31 mars 2021.

Dans l'ouvrage, l'article sera publié dans le Titre III, consacré à : Compliance et Arbitrage.

____

► Résumé de l'article (fait par l'auteur) :  Au titre de la « Juridictionnalisation de la compliance », il est nécessaire de s’intéresser aux liens entre compliance et arbitrage. L’arbitre est un juge, c’est même le juge naturel du commerce international. L’arbitrage est donc naturellement destiné à rencontrer la compliance qui transforme l’action des entreprises dans un contexte international. Pour autant, les liens entre compliance et arbitrage ne sont pas évidents. Il n’est pas question d’apporter des réponses fermes et définitives, mais plutôt, et avant tout, de poser des questions. Nous sommes au début de la réflexion sur ce thème, ce qui explique qu’il y ait, pour l’heure, peu de littérature juridique sur le sujet des rapports entre compliance et arbitrage. Cela ne veut pas dire qu’il n’y ait pas de connexions. Tout simplement, ces rapports n’ont peut-être pas été mis au jour ou ils sont en devenir. Il convient de s’interroger sur les ponts existants ou potentiels entre deux mondes qui ont longtemps gravité de manière séparée : la compliance d’une part, l’arbitrage d’autre part. La question centrale est la suivante : l’arbitre est-il ou peut-il être un juge de la compliance, et, si oui, comment ?

En toute hypothèse, l’arbitre se trouve ainsi être au contact de matières sollicitant les méthodes, les outils et les logiques de la compliance. Outre la prévention et la répression de la corruption, trois exemples peuvent en être donnés.

• L’arbitrage est confronté depuis plusieurs années aux sanctions économiques (embargos notamment). Le lien avec la compliance est évident, dans la mesure où les textes prévoyant des sanctions économiques sont souvent accompagnés de dispositifs de compliance, comme aux États-Unis. L’arbitre est concerné quant au sort qu’il réserve dans le traitement du litige aux mesures de sanctions économiques.
• Le droit de la concurrence est une matière qui est entrée au contact de l’arbitrage à partir de la fin des années 1980. L’arbitrabilité de ce type de litige est désormais acquise et les arbitres en font régulièrement application. Parallèlement, la compliance a aussi fait son entrée en droit de la concurrence, certes de manière plus vivace aux États-Unis qu’en France. L’existence, l’absence ou l’insuffisance d’un programme de conformité portant sur la prévention des violations des règles de la concurrence sont ainsi des circonstances susceptibles d’aider l’arbitre dans l’appréciation d’un comportement anticoncurrentiel.
• Le droit de l’environnement est également concerné. Il existe une compliance environnementale, au regard par exemple de la loi du 27 mars 2017 sur le devoir de vigilance. Les entreprises sont ainsi chargées de participer à la protection de l’environnement, par une internalisation de ces préoccupations dans leur fonctionnement interne et externe (dans leur sphère d’influence). Dès lors qu’un arbitre est chargé de trancher un litige en lien avec le droit de l’environnement, la question du rapport à la compliance, sous cet angle, se pose naturellement.

Ce sont donc les multiples interactions entre Compliance et Arbitrage, avérées ou potentielles, qui sont ainsi ouvertes.

________

► Référence complète : S. Scemla et D. Paillot, "La difficile appréhension des droits de la défense par les autorités de contrôle en matière de compliance", in M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2023, p. 241-249.

____

📕consulter une présentation générale de l'ouvrage, La juridictionnalisation de la Compliance, dans lequel cet article est publié

____

► Résumé de l'article (fait par les auteures) : Depuis décembre 2016, la loi « Sapin 2» impose aux entreprises françaises entrant dans son champ d’application de mettre en place huit mesures très contraignantes de lutte contre la corruption, telles qu’une cartographie des risques, un système de lancement d’alertes, ou encore une procédure d’évaluation des tiers.

Afin de s’assurer de la mise en œuvre de ces obligations, la loi Sapin 2 a créé l’Agence française anticorruption (AFA), à laquelle elle a confié trois missions : d’abord celle d'aider toute personne à prévenir et à détecter les faits de corruption ; ensuite, de contrôler la qualité et l'efficacité des programmes anti-corruption déployés ; enfin, de sanctionner, par sa Commission des sanctions, les éventuels manquements constatés.

Or, comme le Conseil d’État l’a relevé, les pouvoirs donnés aux administrations se sont stratifiés et multipliés. Si le Conseil d’Etat propose d’améliorer le déroulement et l’efficacité des contrôles des administrations en harmonisant les usages et en simplifiant leurs attributions et compétences, il nous semble également urgent de remédier aux nombreuses lacunes procédurales fortement attentatoires aux droits de la défense.

Dans le cadre de ses contrôles, l’AFA s’arroge en effet divers pouvoirs qui, pour certains, ne sont pas prévus par la loi, et qui, pour la plupart, portent atteinte aux droits et libertés fondamentaux au premier rang desquels se trouvent le principe du contradictoire et le droit de ne pas s’auto-incriminer. A titre d’exemple, l’AFA ne juge pas utile de rédiger un procès-verbal des auditions des personnes physiques qu’elle entend, privant celles-ci de la possibilité de se défendre des propos qui seraient rapportés par l’autorité de contrôle devant la Commission des sanctions.

Plus structurellement, le champ de la mission de l’AFA est extrêmement large, la loi lui permettant d’exiger que lui soient communiqués « tout document professionnel ou toute information utile », sans plus de précisions sur la notion d’utilité. L’AFA considère de plus que le secret professionnel ne lui est pas opposable et que la remise volontaire sans réserve de documents entraine la renonciation de l’entité à se prévaloir du secret professionnel.

Outre de potentielles conséquences graves si une procédure était aussi diligentée par une autorité étrangère, le concept de « remise volontaire » ne reflète aucunement la réalité de ces contrôles. En effet, les entités contrôlées coopèrent sous la menace d’une poursuite du chef de délit d’entrave, qui les contraint à communiquer des documents au risque de contribuer à leur propre incrimination.

Ces multiples défaillances procédurales rencontrées lors des contrôles de l’AFA, doivent donc être réformées, comme le préconise le Conseil d’Etat, de façon à imposer aux autorités de contrôle de prendre en compte les droits de la défense.

________

► Référence complète : F.-X. Train, "Arbitrage et procédures parallèles exercées au titre de la compliance", in M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2023, p. 355-368. 

____

📕consulter une présentation générale de l'ouvrage, La juridictionnalisation de la Compliance, dans lequel cet article est publié

____

► Le résumé ci-dessous décrit un article qui fait suite à une intervention dans le colloque Compliance et Arbitrage, coorganisé par le Journal of Regulation & Compliance (JoRC) et l'Université Panthéon-Assas (Paris II). Ce colloque a été conçu par Marie-Anne Frison-Roche et Jean-Baptiste Racine, codirecteurs scientifiques, et s'est déroulé à Paris II le 31 mars 2021.

Dans l'ouvrage, l'article sera publié dans le Titre III, consacré à : Compliance et Arbitrage international.

____

► Résumé de l'article (fait par le Journal of Regulation & Compliance) : L'article insiste tout d'abord sur le principe de l'autonomie de la procédure d'arbitrage internationale, par rapport à laquelle les procédures parallèles demeurent étanches, qu'elles soient pénales ou déclenchées au titre du Droit de la compliance. Dans la procédure arbitrale qui se déroule d'une façon autonome, les arbitres devant lesquels des faits par ailleurs évoqués dans ces procédures parallèles, notamment les faits de corruption, apparaissent devant eux comme des faits dont le caractère illicite est allégué et c'est à ce titre qu'ils peuvent et doivent les appréhender, en utilisant le standard de preuve qui est le faisceau d'indices. 

Dans un second temps, l'article met en lumière les limites de l'autonomie de l'arbitrage international. Il peut s'agir de limites de fait car dans sa recherche des preuves, les red flags sont souvent des preuves trop peu consistantes pour asseoir une sentence, ce d'autant plus que celle-ci peut subir le contrôle par le juge de sa conformité à l'ordre public international, l'annulation par le juge pouvant s'appuyer sur des éléments extérieurs, voire ultérieurs à la procédure d'arbitrage. Il peut alors être sage pour les arbitres, qui n'y sont pas contraints, de suspendre leur procédure pour attendre les résultats des procédures parallèles entamées au titre de la Compliance, pour que les cours en soient harmonieux. 

________

♾️ suivre Marie-Anne Frison-Roche sur LinkedIn

♾️ s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence complète : M.-A. Frison-Roche, "Conforter le rôle du Juge et de l'Avocat pour imposer la Compliance comme caractéristique de l'État de Droit", in M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2023, p. 29-55. 

____

► Cet article constitue l'introduction de l'ouvrage.

____

📝lire l'article

____

🚧lire le document de travail bilingue sur la base duquel cet article a été élaboré, doté de développements supplémentaires, de références techniques et de liens hypertextes

____ 

📕consulter la présentation générale de l'ouvrage, La juridictionnalisation de la Compliance, dans lequel cet article est publié

________

► Résumé de l'article (fait par le Journal of Regulation & Compliance) : L’on peut comprendre que les mécanismes de compliance sont présentés avec hostilité parce qu’ils paraissent conçus pour éloigner le juge, alors qu’il n’y a pas d’Etat de Droit sans Juge. Des arguments solides présentent les techniques de compliance comme convergeant vers l’inutilité du juge (I). Certes, on croise des magistrats, et de toutes sortes, et de très puissants, mais cela serait signe d’imperfection : lorsque sa logique ex ante se sera déployée dans toute son efficacité, le juge ne serait plus requis… Et l’avocat disparaîtrait donc avec lui…  

Cette perspective d’un monde sans juge, sans avocat et finalement sans Droit, où des algorithmes pourraient organiser par de multiples process en Ex Ante la « conformité » de tous nos comportements à toute la masse réglementaire qui nous est applicable, suppose que l’on définisse cette nouvelle branche du Droit comme la concentration des process qui donne pleine efficacité à toutes les règles, sans considération de leur teneur. A supposer que ce rêve d’ingénieur soit même réalisable, l’on ne peut faire ainsi l’économie des juges et des avocats.

C'est pourquoi il est impérieux de reconnaître leurs apports au Droit de la Compliance, apports liés inestimables (II).

Tout d’abord parce qu’un pur Ex Ante n’a jamais existé et que même au temps des Légistes, il fallait encore des personnes pour interpréter les règlements car un ordre juridique doit toujours être interprété en Ex Post par celui qui doit de toutes les façons répondre aux questions que le posent les sujets de droit, dès l’instant que le système politique admet d’attribuer à ceux-ci le droit de former des prétentions devant un juge. Ensuite l’Avocat, dont l’office bien qu’articulé à celui du Juge, est distinct de celui-ci, à la fois plus restreint et plus large, puisqu’il doit apparaître dans tous les cas où la figure juridictionnelle se met en place. Or, le Droit de la Compliance a multiplié celle-ci puisque non seulement, prolongeant en cela le Droit de la Régulation, il confie de nombreux pouvoirs aux Autorités administratives, mais encore il transforme les entreprises en juge, ce à l’égard de quoi l’Avocat doit faire face.

Plus encore le Droit de la Compliance ne prend son sens qu’à partir des Buts Monumentaux qu’il sert. C’est en cela que cette branche du Droit préserve la liberté des êtres humains, notamment dans l’espace numérique où les techniques de compliance les protègent de la puissance des entreprises par l’usage que le Droit contraint ces entreprises de faire de cette puissance même. Or en premier lieu ce sont les Juges qui, dans leur diversité, impose comme référence la protection des êtres humains, soit comme limite à la puissance des outils de compliance soit comme finalité même de ceux-ci. En second lieu, l’Avocat, là encore se distinguant du Juge, au besoin vient rappeler que toutes les parties dont les intérêts sont impliqués doivent être prises en considération. Dans un Droit toujours plus souple et dialogal, chacun se présente comme « l’avocat » de tel ou tel but monumental : l’Avocat est légitime à être le premier à occuper cette place.

________

► Référence complète : Ch. Lapp, "La compliance dans l'entreprise : les statuts du process", in M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2023, p.141-150. 

____

📕consulter une présentation générale de l'ouvrage, La juridictionnalisation de la Compliance, dans lequel cet article est publié

____

► Le résumé ci-dessous décrit un article qui fait suite au colloque L'entreprise instituée Juge et Procureur d'elle-même par le Droit de la Compliance, coorganisé par le Journal of Regulation & Compliance (JoRC) et la Faculté de Droit Lyon 3. Ce colloque a été conçu sous la direction scientifique de Marie-Anne Frison-Roche et Jean-Christophe Roda et s'est déroulé à Lyon le 23 juin 2021. Au cours de ce colloque, l'intervention fût commune avec Jean-Marc Coulon, également contributeur dans l'ouvrage (v. le résumé de l'article de Jean-Marc Coulon).

Dans l'ouvrage, l'article sera publié dans le Titre I, consacré à  L'entreprise instituée Juge et Procureur d'elle-même par le Droit de la Compliance.

____

► Résumé de l'article (fait par l'auteur) : L’entreprise est prise en tenaille par le droit de la Compliance dont les mâchoires sont celles de l’incitation  (1) et la sanction qu’elle doit appliquer pour assurer l’effectivité de ses process dont elle est elle-même justiciable (2).

En premier lieu, l’Entreprise a reçu délégation de fabriquer les règles répréhensibles qu’elle doit s’appliquer à elle-même ainsi qu’aux tiers avec lesquels elle est en relation. A cet effet, l’entreprise met en place des "process", c’est-à-dire des procédés de vérifications, de prévention, afin de donner à voir  que les infractions qu’elle est susceptible de commettre ne seront pas constituées.

Les process constituent un standard de comportement pour prévenir et éviter que les faits constitutifs des infractions ne soient pas eux-mêmes réalisés. Ils sont ainsi l’un des éléments de la règle de droit de la responsabilité civile dans ses finalités préventive ou réparatrice.

En second lieu, La répression de l’inobservation des process met l’entreprise en face de deux écueils. Le premier place l'entreprise, à l’égard de ses collaborateurs et de ses partenaires, dans l'obligation de éfinir des process qui constituent également le règlement quasi juridictionnel de leur inobservation, l’entreprise devant concilier la sanction qu’elle prononce avec les principes fondamentaux du droit pénal classique, les principes constitutionnels et l’ensemble des droits substantiel. Les process deviennent alors la règle processuelle.

Le second est que l’entreprise est justiciable de l’effectivité de l’évitement par ses process des faits constitutifs d’infractions Par une inversion de la charge de la preuve, l’entreprise est alors astreinte à prouver que ses process ont une efficience au moins équivalente aux mesures définies par les lois et règlements, l’Agence française anticorruption (AFA), les directives européennes et les diverses communications sur les outils de lutte contre les infractions à la probité, les atteintes environnementales et aux préoccupations sociétales actuelles. Les process deviennent alors l’élément constitutif, per se, de l’infraction.

Ainsi, dans sa recherche de l’équilibre entre la prévention et la sanction à laquelle elle est elle-même assujettie, l’entreprise ne sera-t-elle pas alors tentée de privilégier l’orthodoxie de ses process aux attentes de l’AFA, des régulateurs et des juges, au détriment de leur efficacité ?

Ce faisant, ne va-t-on pas vers une Compliance instrumentale et conformiste, paradoxalement déresponsabilisante par rapport aux buts monumentaux de la Compliance ?

________

► Référence complète : E. Wennerström, "Quelques réflexions sur la Compliance et la Cour européenne des droits de l'homme", in M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2023, p. 479-489.

____

📕consulter une présentation générale de l'ouvrage, La juridictionnalisation de la Compliance, dans lequel cet article est publié

____

► Résumé de l'article (fait par le Journal of Regulation & Compliance) : Le développement de la jurisprudence de la Cour européenne des droits de l'homme, contribuant à l'intégration européenne, a intégré l'idée substantielle de "compliance" qui dépasse l'idée de légalité par rapport à laquelle les entreprises demeurent passives et promeut les systèmes juridiques comme des ensembles en interaction les uns avec les autres. 

L'auteur développe l'esprit et la portée du Protocole 15 par lequel sont organisées à la fois le principe de subsidiarité et les marges de manœuvre des Etats signataires de la Convention, mécanismes éclairés par le principe de proportionnalité. La subsidiarité pose les Etats sont les mieux placés pour concevoir l'application la plus adéquate de la Convention, les liens étroits entre les Etats permettant une application efficace de celle-ci.  En outre, la procédure d'avis qui permet à une juridiction nationale d'avoir sur un cas pendant l'opinion non obligatoire de la CEDH assure une meilleure efficace de la Compliance au regard des objectifs de la Convention.

La jurisprudence de la Cour reprend cette exigence substantielle à travers sa doctrine notamment dégagée dans le cas Bosphorus , en soulignant que l'adhésion d'un Etat à l'Union européenne présume son respect des obligations découlant de la CEDH, en exécutant le droit de l'Union européenne, même cette présomption peut être réfutée si la protection est manifestement défaillante, ce qui fut admis dans plusieurs affaires, notamment à propos du droit à un tribunal impartial en matière de régulation économique.  S'articulent ainsi les différents ordres juridiques.  

L'auteur conclut que la Cour européenne des droits de l'homme, comme la Cour de justice de l'Union, contribue à la construction du Droit de la Compliance en Europe, dans une perspective Ex Ante favorisant les avis plutôt que les sanctions Ex Post et créant, notamment par la doctrine Bosphorus des éléments de sécurité et de confiance pour l'intégration européenne autour des valeurs communes aux différents systèmes juridiques articulés et laissant aux Etats les marges adéquates pour favoriser cette intégration. 

________

► Référence complète : J. Jourdan-Marques, "L’arbitre, juge ex ante de la compliance ?", in M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2023, p. 317-334. 

____

📕consulter une présentation générale de l'ouvrage, La juridictionnalisation de la Compliance, dans lequel cet article est publié

____

► Le résumé ci-dessous décrit un article qui fait suite à une intervention dans le colloque L'entreprise instituée Juge et Procureur d'elle-même par le Droit de la Compliance, coorganisé par le Journal of Regulation & Compliance (JoRC) et la Faculté de Droit Lyon 3. Ce colloque a été conçu par Marie-Anne Frison-Roche et Jean-Christophe Roda, codirecteurs scientifiques, et s'est déroulé à Lyon le 23 juin 2021.

En raison de la très forte proximité du contenu de cet article avec un colloque qui s'était tenu précédemment, dans le même cycle de colloques, sur Compliance et Arbitrage, conçu par Marie-Anne Frison-Roche et Jean-Baptiste Racine et qui s'était déroulé à Paris le 31 mars 2021 à Paris, il a été décidé avec l'auteur et les différents responsables scientifiques des manifestations scientifiques concernés de publier l'article non pas dans le Titre I de l'ouvrage, consacré à  L'entreprise instituée Juge et Procureur d'elle-même par le Droit de la Compliance, mais dans le Titre III, consacré à Compliance et Arbitrage international. 

____

► Résumé de l'article (fait par le Journal of Regulation & Compliance) : L'article débute par une longue  introduction relative aux rapports généraux entre la Compliance et l'Arbitrage.

Puis l'auteur traite dans une première partie l'arbitrage en amont de la survenance du litige, visant les rapports de l'entreprise dans son organisation avec des autres entreprises pour son activités économiques, par exemple des agents commerciaux. L'auteur examine la façon dont l'arbitrage peut régler des difficultés qui surviennent entre eux, y compris lorsque celles-ci sont par ailleurs appréhendées par le Droit de la Compliance et les institutions en charge de celui-ci, notamment parce que des faits de corruption sont allégués et que le fait est allégué par le débiteur lui-même alors que le paiement n'est pas encore demandé. La question juridique est alors celle de savoir s'il existe un "litige" ou non.  

Se situant plus encore en amont, l'auteur envisage l'adoption d'un programme de compliance dans lequel le recours à l'arbitrage serait inséré, pouvant alors être à l'origine d'une irresponsabilité pénale, telle que l'article L.122-4 du Code pénal la prévoit, une sentence arbitrale pouvant produire un tel effet si elle est reconnue dans l'ordre juridique. 

La seconde partie de l'article envisage l'arbitrage en l'absence de pluralité de parties, ce à quoi pourrait correspondre les actes émis par l'Oversight Board de Facebook, cette sorte de juge n'étant pas saisi par des parties à un litige. Il pourrait être judicieux de qualifier ce mécanisme comme un arbitrage, même si cette qualification est difficile à retenir. En tout cas, si on le faisait en admettant qu'une volonté unilatérale fasse naître une mission juridictionnelle, il conviendrait que des garanties entourent une telle institutionnalisation. Elles peuvent passer par des organismes spécifiques en matière de compliance, en dehors ou au sein des institutions d'arbitrage existantes, lesquelles doivent alors devenir moteur en la matière. En outre, le choix des arbitres devrait sans doute passer par l'institution même pour que l'impartialité demeure incontestable et que le profit soit varié. La procédure aurait également vocation à être infléchie du fait de l'absence de véritable litige, justifiant l'aménagement du contradictoire (au sens étroit de celui-ci, lié au débat) notamment par l'intervention d'amicus curiae et pour éviter les fraudes par l'arbitrage et dans la procédure. En l'absence d'adversaire, l'office procédural de l'arbitre pourrait être reconsidéré : sans modifier les termes de la question, il serait adéquat qu'il ait davantage de faculté pour décider des mesures adéquates à prendre pour pallier le non-respect des exigences de compliance. Enfin la publicité paraît à l'auteur indispensable pour que l'arbitrage ne soit pas instrumentalisé par des parties, publicité qui pourrait concerner les débats et les pièces produits.  Ces exigences certes très élevées donneraient en contrepartie une grande crédibilité à la sentence qui en résulte, justifiant la portée de celle-ci, et l'on pourrait songer à labelliser un tel résultat, label dont l'entreprise pourrait se prévaloir. 

L'auteur en conclut que ces transformations finissent à s'éloigner tant de l'arbitrage qu'on jouxte la dénaturation, du fait notamment de l'absence de litige, mais cela permet aux entreprises d'externaliser la gestion de la responsabilité de plus en plus lourde engendrée par la Compliance en lui offrant l'assistance d'une autorité juridictionnelle, dès l'instant que les garanties procédurales en seraient renforcées. 

________

► Référence complète : M.-A. Frison-Roche, co-organisation de la formation ENM Droit de la Compliance, co-organisé entre l'École nationale de la magistrature et le Journal of Regulation & Compliance (JoRC), les 2 et 3 février 2023. 

____

► Présentation générale de la formation : la session de deux jours est conçue pour les magistrats et les avocats en exercice et non nécessairement spécialisés, afin de leur permettre, à partir de cas concrets, d'appréhender les enjeux, objectifs et méthodes de la compliance en entreprise, dont la judiciarisation croissante et la dimension supranationale renforcent et modifient l’office du juge et le rôle des avocats.

L'analyse en est faite sous l’angle du droit civil (contrat, responsabilité), du droit des sociétés, du droit du travail et du droit répressif, mais aussi de la gouvernance, de la régulation, des enjeux climatiques, numériques et des marchés financiers.

____

► Bibliographie sommaire : 

• M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2023.
• ​M.-A. Frison-Roche (dir.), Les buts monumentaux de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2022.
• M.-A. Frison-Roche (dir.), Les outils de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2021.
• N. Borga, J.-Cl. Marin, J.-Ch. Roda (dir), Compliance : l'entreprise, le régulateur et le juge, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2018.
• M.-A. Frison-Roche (dir.), Pour une Europe de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2019.
• M.-A. Frison-Roche (dir.), Régulation, Supervision, Compliance, coll. "Régulations", Journal of Regulation & Compliance (JoRC) et Dalloz, 2017.

____

► Interviennent : 

🎤François Ancel, Conseiller à la Première chambre civile de la Cour de cassation

🎤Guillaume Beaussonie, Professeur à l'Université Toulouse 1 Capitole 

🎤Jean-François Bohnert, Procureur national financier 

🎤Gilles Briatta, Secrétaire général du Groupe Société Générale 

🎤Marie-Anne Frison-Roche, Directrice du Journal of Regulation & Compliance (JoRC)

🎤Cécile Granier, Maître de conférences à l'Université Jean-Moulin Lyon 3

🎤Jean-Michel Hayat, Premier Président honoraire de la Cour d'appel de Paris

🎤Christophe Ingrain, Avocat à la Cour 

🎤Anne-Valérie Le Fur, Professeure à l'Université Versailles Saint-Quentin-en-Yvelines 

🎤Stanislas Pottier, Conseiller spécial de la Direction générale d'Amundi

🎤Jean-Baptiste Racine, Professeur à l'Université Panthéon-Assas (Paris II)

🎤Juliette Thery, Membre du Collège de l'Arcom

____

Lire une présentation détaillée de la manifestation ci-dessous⤵️

► Référence complète : J. Heymann, "La nature juridique de la "Cour suprême" de Facebook", in M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2023, p. 151-167. 

____

📕consulter une présentation générale de l'ouvrage, La juridictionnalisation de la Compliance, dans lequel l'article est publié

____

► Le résumé ci-dessous décrit un article qui fait suite au colloque L'entreprise instituée Juge et Procureur d'elle-même par le Droit de la Compliance, coorganisé par le Journal of Regulation & Compliance (JoRC) et la Faculté de Droit Lyon 3. Ce colloque a été conçu sous la direction scientifique de Marie-Anne Frison-Roche et Jean-Christophe Roda et s'est déroulé à Lyon le 23 juin 2021.

Dans l'ouvrage, l'article sera publié dans le Titre I, consacré à  L'entreprise instituée Juge et Procureur d'elle-même par le Droit de la Compliance.

____

► Résumé de l'article (fait par l'auteur) : Inséré dans la thématique générale visant à « faire coïncider les mots et les choses », l’article propose une réflexion sur les « conditions du discours » - au sens où l’entendait Foucault dans son Archéologie des sciences humaines – relatif au phénomène de juridictionnalisation de la Compliance.

            Plus précisément, la réflexion porte sur la nature de la prétendue « Cour suprême » instituée par le groupe Facebook en vue de connaître des appels des décisions relatives au contenu sur les réseaux sociaux numériques Facebook et Instagram. S’agit-il véritablement d’une Cour suprême, en charge de « juger » le groupe Facebook ?

            Un examen attentif de l’Oversight Board, soit le Conseil de Surveillance créé par l’entreprise Facebook, révèle que ce dernier, au-delà de son titre, peut prétendre, en complément de son activité de « conseil » (laquelle consiste à émettre des « avis consultatifs sur les politiques en matière de contenu de Facebook »), exercer une forme d’activité juridictionnelle. Celle-ci se conçoit essentiellement en termes de vérification de conformité, d’une part des contenus publiés sur les réseaux sociaux Facebook ou Instagram aux standards émis par ces deux sociétés, d’autre part des décisions – de modération ou d’appréciation de cette modération – au droit. Le cadre juridique de référence est cependant flou, et semble en outre présenter la particularité d’évoluer en fonction du cadre géographique dans lequel le cas examiné sera localisé. Une mission juridictionnelle semble donc bien pouvoir être caractérisée, même si l’office du Conseil de Surveillance est limité et n’a vocation à s’exercer que dans un cadre restreint.

            L’auteur propose donc de retenir, en vue de qualifier l’Oversight Board, la nature d’organe préventif de règlement des différends – l’objectif poursuivi paraissant être celui d’éviter la saisine de tribunaux étatiques en statuant en amont d’une décision judiciaire. Différentes questions doivent subséquemment être soulevées, tant sur le plan de la légitimité que sur celui de l’autorité de pareil Oversight Board. Mais quelles que seront les réponses à ces questions, il reste que cette création d’un Conseil de Surveillance par une entreprise de droit privé révèle d’ores et déjà toute la vivacité du pluralisme juridique contemporain.

________

🌐suivre Marie-Anne Frison-Roche sur LinkedIn

🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law

____

► Référence complète : M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, Journal of Regulation & Compliance (JoRC) et Dalloz, coll. "Régulations & Compliance", 2023, 490 p.

____

► Présentation de l'ouvrage : Sanctions, contrôles, recours, deals : les juges et les avocats sont partout dans les mécanismes de Compliance, créant des situations inédites, parfois sans solution encore disponible. Alors même que la Compliance avait été conçue pour éviter le juge et produire de la sécurité en évitant le conflit. Cette juridictionnalisation est donc nouvelle. Obligeant les entreprises à poursuivre et à juger, rôle contraint, peut-être contre-nature. Conduisant à l’adaptation des principes majeurs de procédures, avec difficulté. Confrontant l’arbitrage à des perspectives inédites. Mettant au cœur le juge, dans des mécanismes pensés pour qu’il n’y figure pas.  Comment en pratique agencer ces contraires et anticiper les solutions ? C’est le défi relevé par cet ouvrage.

____

📘 Parallèlement, un ouvrage en anglais, Compliance Jurisdictionalisation, est publié dans la collection éditée par le Journal of Regulation & Compliance (JoRC) et les Éditions Bruylant. 

____

📅 Cet ouvrage vient à la suite d'un cycle de colloques 2021 organisés par le Journal of Regulation & Compliance (JoRC) et des Universités qui lui sont partenaires.

____

Ce volume s'insère dans la ligne des ouvrages qui dans cette collection sont consacrés à la Compliance.

📚 Lire les présentations des autres ouvrages de la Collection portant sur la Compliance :

• les ouvrages suivants :

🕴️M.A. Frison-Roche (dir.), 📕Le système probatoire de la compliance, 2025

🕴️M.A. Frison-Roche (dir.), 📕L'obligation de compliance, 2024

🕴️M.A. Frison-Roche et M. Boissavy (dir.), 📕Compliance & droits de la défense. Enquête interne - CJIP - CRPC, 2023

• les ouvrages précédents :

🕴️M.A. Frison-Roche (dir.), 📕Les buts monumentaux de la Compliance, 2022

🕴️M.A. Frison-Roche (dir.), 📕Les outils de la Compliance, 2021

🕴️M.A. Frison-Roche (dir.), 📕Pour une Europe de la Compliance, 2019

🕴️N. Borga, 🕴️J.-Cl. Marin et 🕴️J-.Ch. Roda (dir.), 📕Compliance : Entreprise, Régulateur, Juge, 2018

🕴️M.A. Frison-Roche (dir.), 📕Régulation, Supervision, Compliance, 2017

🕴️M.A. Frison-Roche (dir.), 📕Internet, espace d'interrégulation, 2016

📚Consulter les autres titres de la collection.

___

► Présentation générale de l'ouvrage : Il y eut toujours des juges et des avocats en Droit de la Compliance, notamment parce que celui-ci est le prolongement du Droit de la Régulation dans lequel ils ont pleine place. Cela résulte du fait que les décisions qui sont prises au titre de la Compliance sont contestables en justice, y compris arbitrale, celles émises par l'entreprise, comme celles des Etats ou des Autorités, le juge devenant à son tour ce par quoi le Droit de la Compliance est effectif.

La nouveauté tient davantage dans le phénomène de la "juridictionnalisation", c'est-à-dire que le modèle juridictionnel pénètre tout le Droit de la Compliance, et pas seulement la part Ex Post que celui-ci comprend. Plus encore, il semble que cette juridictionnalisation influence la dimension pourtant non juridique de la Compliance. Ce mouvement a des effets qu'il faut mesurer et des causes qu'il faut comprendre. Des avantages et des inconvénients qu'il faut mettre en balance. Ne serait-ce que pour se former une opinion face à des entreprises devenues procureur et juge d'elles-mêmes et des autres ... : encourager cette "Juridictionnalisation de la Compliance", la combattre, l'infléchir peut-être ? En tout cas, la comprendre !

____

🏗️Construction générale de l'ouvrage

L'ouvrage s'ouvre sur une double Introduction.  La première, en accès libre, consiste dans un résumé de l'ouvrage, la seconde, substantielle, porte sur la nécessité de conformité le Juge et l'Avocat pour que le Droit de la Compliance soit la caractéristique des États de Droit.

Le premier Titre est consacré à ce qui est spécifique au Droit de la Compliance : la transformation des entreprises en Procureur et Juge d'elles-mêmes, voire des autres.  

Le deuxième Titre a pour objet d'étudier les interférences qui se développent entre le Droit processuel et les techniques de compliance.

Le troisième Titre mesure l'emprise des raisonnements et des exigences du Droit de la Compliance dans des modes de résolution des litiges où il n'était pas, sauf exception, présent, mais où il a un grand avenir : l'arbitrage. 

Parce que procès et jugement sont indissociables, parce que techniques juridiques et Etat de Droit ne doivent pas l'être et que les techniques de Compliance pourraient paradoxalement être l'arme de leur dissociation, parce que le pouvoir de juger et les procédures qui l'entourent ne doivent pas être dissociés, parce que donc Compliance et Etat de Droit doivent être pensés et pratiqués ensuite, la montée en puissance de l'un devant être le signe de la montée en puissance de l'autre, et non le prix de l'affaiblissement de l'Etat de Droit, le quatrième Titre  a pour objet le rôle du Juge dans la Compliance.

___

►Appréhender l'ouvrage en s'appuyant sur la présentation des articles : 

DOUBLE INTRODUCTION

🕴️M.-A. Frison-Roche, 📝Lignes de force de l'ouvrage La juridictionnalisation de la Compliance accès ligne au texte intégral

🕴️M.-A. Frison-Roche, 📝Conforter le rôle du Juge et de l'Avocat pour imposer la Compliance comme caractéristique de l'État de Droit

I. L'ENTREPRISE INSTITUÉE PROCUREUR ET JUGE D'ELLE-MEME ET D'AUTRUI PAR LE DROIT DE LA COMPLIANCE

🕴️M.-A. Frison-Roche, 📝Le "jugeant-jugé". Articuler les mots et les choses face à l'éprouvant conflit d'intérêts 

🕴️C. Granier, 📝Réflexions sur l'existence d'une jurisprudence des entreprises

🕴️L.-M. Augagneur,📝La juridictionnalisation de la réputation par les plateformes

🕴️A. Bruneau,📝L'entreprise juge d'elle-même : la fonction compliance dans la banque

🕴️J.-M. Coulon, 📝Le Droit de la Compliance dans le secteur d'activité de la construction et les contradictions, impossibilités et impasses auxquelles les entreprises sont confrontées

🕴️Ch. Lapp, 📝La compliance dans l'entreprise : les statuts du process

🕴️J. Heymann, 📝La nature juridique de la "Cour suprême" de Facebook

🕴️D. Latour, D., 📝Les enquêtes internes au sein des entreprises

🕴️A. Bavitot, 📝Le façonnage de l'entreprise par les accords de justice pénale négociée

🕴️S. Merabet, 📝La vigilance, être juge et ne pas juger

II. LE DROIT PROCESSUEL À L'OEUVRE DANS LE DROIT DE LA COMPLIANCE

🕴️N. Cayrol,📝Des principes processuels en Droit de la Compliance

🕴️F. Ancel,📝Le principe processuel de compliance, un nouveau principe directeur du procès ?

🕴️B. Sillaman, 📝Secret professionnel et coopération : les leçons de procédure tirées de l’expérience américaine pour une application universelle

🕴️A. Linden,📝Motivation et publicité des décisions de la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) dans une perspective de compliance

🕴️S. Scemla et 🕴️D. Paillot, 📝La difficile appréhension des droits de la défense par les autorités de contrôle en matière de compliance

🕴️M.-A. Frison-Roche, 📝Ajuster par la nature des choses le Droit processuel au Droit de la Compliance

III. L'ARTICULATION DE LA COMPLIANCE ET DE L'ARBITRAGE INTERNATIONAL 

🕴️J.-B. Racine, 📝Compliance et arbitrage. Essai de problématisation

🕴️E. Silva-Romero et 🕴️R. Legru, 📝Quelle place pour la Compliance dans l'arbitrage d'investissement ?

🕴️C. Kessedjian,  📝L'arbitrage au service de la lutte contre la violation des droits de la personne humaine par les entreprises 

🕴️M. Audit,📝La position de l'arbitre en matière de compliance

🕴️J. Jourdan-Marques,📝 L’arbitre, juge ex ante de la compliance ?

🕴️E. Kleiman, 📝Les objectifs de la compliance confrontés aux acteurs de l’arbitrage

🕴️F.-X. Train, 📝Arbitrage et procédures parallèles exercées au titre de la compliance

🕴️Cl. Debourg, 📝La compliance au stade du contrôle des sentences arbitrales

IV. LE JUGE DANS LE DROIT DE LA COMPLIANCE

🕴️M.-A. Frison-Roche, 📝Le juge, l'obligation de compliance et l'entreprise. Le système probatoire de la Compliance

🕴️J. Morel-Maroger,📝La réception des normes de la compliance par les juges de l'Union européenne

🕴️S. Schiller, 📝Un juge unique en cas de manquement international à des obligations de compliance ? 

🕴️O. Douvreleur,📝Compliance et juge du droit

🕴️F. Raynaud, 📝Le juge administratif et la compliance

🕴️E .Wennerström, 📝Quelques réflexions sur la Compliance et la Cour européenne des droits de l'Homme

________

Référence complète : CJUE, 1ière ch.,  12 janv. 2023, RW  c.  Österreichische Post AG, C-154/21.

____

Lire l'arrêt.

_____

Fiche de l'arrêt : Dans un contentieux entre un particulier et une entreprise postale (RW c. Österreichische Post AG, la Cour suprême de l'Autriche a décidé le 18 février 2021 de saisir la CJUE d'une question préjudicielle sur le sens à donner au "droit d'accès de la personne concernée à ses données" (article 15 RGPD) : jusqu'où doivent aller les informations à lui communiquer sur les destinataires ou catégories de destinataires auxquelles ces informations sont communiquées par celui qui recueille ces informations.

considérant les observations présentées :

–        pour RW, par Me R. Haupt, Rechtsanwalt,

–        pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,

–        pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,

–        pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,

–        pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,

–        pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,

–        pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,

–        pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,

–        pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).

2        Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.

 Le cadre juridique

3        Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :

« (4)      [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]

[...]

(9)      Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.

(10)      Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]

[...]

(39)      Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]

[...]

(63)      Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]

[...]

(74)      Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »

4        L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

5        L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :

« 1.      Les données à caractère personnel doivent être :

a)      traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

[...]

2.      Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

6        L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :

« 1.      Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

2.      Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.

[...]

5.      Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :

a)      exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou

b)      refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

[...] »

7        L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :

« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

[...]

e)      les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]

[...] »

8        L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :

« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

[...]

e)      le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;

[...] »

9        Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :

« 1.      La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :

a)      les finalités du traitement ;

b)      les catégories de données à caractère personnel concernées ;

c)      les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;

d)      lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

e)      l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;

f)      le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

g)      lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;

h)      l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

2.      Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.

3.      Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

4.      Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »

10      L’article 16 du RGPD, intitulé « Droit de rectification », dispose :

« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »

11      Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :

« 1.      La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

a)      les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;

b)      la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;

c)      la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;

d)      les données à caractère personnel ont fait l’objet d’un traitement illicite ;

e)      les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;

f)      les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

2.      Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

[...] »

12      L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :

« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :

a)      l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;

b)      le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;

c)      le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;

d)      la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

[...] »

13      L’article 19 du RGPD est ainsi libellé :

« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »

14      Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :

« 1.      La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

2.      Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.

3.      Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.

4.      Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.

5.      Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.

6.      Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »

15      L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

16      L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :

« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

 Le litige au principal et la question préjudicielle

17      Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.

18      En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.

19      RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.

20      Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.

21      Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.

22      RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.

23      Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.

24      Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.

25      En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.

26      Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.

27      Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »

 Sur la question préjudicielle

28      Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.

29      À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).

30      S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.

31      À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.

32      Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.

33      Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.

34      En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).

35      Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.

36      En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.

37      En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).

38      En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).

39      Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.

40      Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

41      Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.

42      Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.

43      Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.

44      Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).

45      Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.

46      Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.

47      Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).

48      Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.

49      En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.

50      En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.

51      Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

 Sur les dépens

52      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (première chambre) dit pour droit :

L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

Signatures

*      Langue de procédure : l’allemand.

ARRÊT DE LA COUR (première chambre)

12 janvier 2023 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 15, paragraphe 1, sous c) – Droit d’accès de la personne concernée à ses données – Informations sur les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées – Limitations »

Dans l’affaire C‑154/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Oberster Gerichtshof (Cour suprême, Autriche), par décision du 18 février 2021, parvenue à la Cour le 9 mars 2021, dans la procédure

RW

contre

Österreichische Post AG,

LA COUR (première chambre),

composée de M. A. Arabadjiev, président de chambre, M. L. Bay Larsen, vice‑président de la Cour, faisant fonction de juge de la première chambre, MM. P. G. Xuereb, A. Kumin et Mme I. Ziemele (rapporteure), juges,

avocat général : M. G. Pitruzzella,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

–        pour RW, par Me R. Haupt, Rechtsanwalt,

–        pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,

–        pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,

–        pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,

–        pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,

–        pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,

–        pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,

–        pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,

–        pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).

2        Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.

 Le cadre juridique

3        Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :

« (4)      [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]

[...]

(9)      Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.

(10)      Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]

[...]

(39)      Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]

[...]

(63)      Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]

[...]

(74)      Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »

4        L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

5        L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :

« 1.      Les données à caractère personnel doivent être :

a)      traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

[...]

2.      Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

6        L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :

« 1.      Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

2.      Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.

[...]

5.      Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :

a)      exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou

b)      refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

[...] »

7        L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :

« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

[...]

e)      les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]

[...] »

8        L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :

« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

[...]

e)      le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;

[...] »

9        Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :

« 1.      La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :

a)      les finalités du traitement ;

b)      les catégories de données à caractère personnel concernées ;

c)      les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;

d)      lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

e)      l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;

f)      le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

g)      lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;

h)      l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

2.      Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.

3.      Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

4.      Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »

10      L’article 16 du RGPD, intitulé « Droit de rectification », dispose :

« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »

11      Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :

« 1.      La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

a)      les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;

b)      la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;

c)      la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;

d)      les données à caractère personnel ont fait l’objet d’un traitement illicite ;

e)      les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;

f)      les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

2.      Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

[...] »

12      L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :

« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :

a)      l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;

b)      le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;

c)      le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;

d)      la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

[...] »

13      L’article 19 du RGPD est ainsi libellé :

« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »

14      Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :

« 1.      La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

2.      Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.

3.      Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.

4.      Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.

5.      Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.

6.      Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »

15      L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

16      L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :

« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

 Le litige au principal et la question préjudicielle

17      Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.

18      En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.

19      RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.

20      Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.

21      Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.

22      RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.

23      Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.

24      Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.

25      En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.

26      Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.

27      Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »

 Sur la question préjudicielle

28      Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.

29      À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).

30      S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.

31      À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.

32      Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.

33      Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.

34      En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).

35      Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.

36      En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.

37      En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).

38      En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).

39      Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.

40      Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

41      Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.

42      Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.

43      Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.

44      Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).

45      Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.

46      Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.

47      Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).

48      Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.

49      En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.

50      En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.

51      Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

 Sur les dépens

52      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (première chambre) dit pour droit :

L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

Signatures

*      Langue de procédure : l’allemand.

► Référence complète : J. Harrison, "Trade Agreement and Sustainability: Exploring the Potential of Global Value Chain (GVC) Obligations", Journal of International Economic Law,  2023

____

► Résumé de l'article (fait par l'auteur ) : Après 

____

🦉Les étudiants de Marie-Anne Frison-Roche peuvent avoir accès au texte intégral

________

♾️suivre Marie-Anne Frison-Roche sur LinkedIn

♾️s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence générale : Frison-Roche, M.-A. Régulation et Compliance, expression des missions d'un Ordre, document de travail, juillet 2022.

____

🎤 Ce document de travail a été élaboré pour servir de base à une intervention dans le Congrès annuel de l'Ordre des Géomètres-Expert le 15 septembre 2022 

____

🎥Regarder la courte présentation de cette intervention 

____

🎥Regarder l'intégralité de cette conférence prononcée le 15 septembre 2022 sur la base de ce document de travail 

____

► Résumé du document de travail : Les ordres professionnels ne doivent pas se penser comme des exceptions, si légitimes soient-elles, par rapport à un principe, qui serait le jeu concurrentiel, mais comme l'expression d'un principe. Ce principe est exprimé par deux branches du Droit dont l'importance ne cesse de croître dans le Droit européen, branches libérales qui se fondent sur une conception de la vie économique et de l'entreprise tournée avant tout vers le futur : le Droit de la Régulation et le Droit de la Compliance, deux branches du Droit à la fois liées et distinctes.

En effet et c'est l'objet de la première partie, il est vrai que le Droit de la Concurrence conçoit les ordres professionnels comme des exceptions puisque ces "corporations" constituent des ententes structurelles. Le Droit interne français à la fois consolide les ordres en les adossant à l'Etat qui leur subdéléguerait ses pouvoirs mais les embarque dans la remise en cause par l'Union européenne des Etats et leurs outils. Le plus souvent la tentation est alors de rappeler avec une sorte de nostalgie les temps où les ordres étaient le principe mais, sauf à demander comme une restauration, le temps ne serait plus. 

Une approche plus dynamique est possible, en accord avec l'évolution plus générale du Droit économique. En effet l'Ordre professionnel est l'expression d'une profession, notion relativement peu exploitée, sur laquelle il exerce la fonction de "Régulateur de second niveau", les Autorités publiques exerçant la fonction de "Régulateur de premier niveau". Le Droit de la Régulation bancaire et financière est construit ainsi et fonctionne de cette façon, au niveau national, européen et mondial. C'est de cela qu'il convient de se réclamer. 

Les Ordres professionnels ont alors pour fonction primordiale de diffuser une "culture de Compliance" dans les professionnels qu'ils supervisent et au-delà de ceux-ci (clients et parties prenantes). Cette culture de Compliance s'élabore au regard des mission qui sont concrétisés par les professionnels eux-mêmes. 

C'est pourquoi la seconde partie du document de travail porte sur l'évolution juridique de la notion de "mission" qui est devenue centrale en Droit, notamment à travers la technique de l'entreprise à mission. Or les points de contact sont multiples entre la raison d'être, l'entreprise à mission et le Droit de la Compliance, dès l'instant que l'on définit celui-ci par les buts concrets et très ambitieux que celui-ci poursuit : les Buts Monumentaux. 

Chaque structure, par exemple l'Ordre des Géomètres-Experts, est légitime à fixer le But Monumental qu'il poursuit et qu'il inculque, notamment le territoire et le cadre de vie, rejoignant ce qui unit tous les Buts Monumentaux de la Compliance : le souci d'autrui. L'Ordre des Géomètres-Experts est adéquat parce qu'il est dans un rapport plus flexible, à la fois plus resserré et plus ample, avec le territoire que l'Etat lui-même. 

En inculquant cela aux professionnels, l'Ordre professionnel développe chez le praticien une "responsabilité ex ante", qui est un pilier du Droit de la Compliance, constituant à la fois une charge et un pouvoir que le professionnel exerce et dont l'Ordre professionnel doit être le superviseur.

____

🔓lire le document de travail ci-dessous⤵️

♾️ suivre Marie-Anne Frison-Roche sur LinkedIn

♾️s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence complète : M.-A. Frison-Roche, "La compliance, perspective dynamique pour exprimer la raison d'être des commissaires de justice", in Table-ronde sur "Professions réglementées, ambitions et enjeux", Congrès annuel national des Commissaires de justice, Paris, 8 décembre 2022. 

____

►lire le programme complet du congrès et 🎥regarder la présentation du colloque par le président du Congrès

____

🎥regarder le débat

____

►présentation de l'intervention : Ce premier congrès annuel national des Commissaires de justice, réunissant pour la première fois la profession réformée, a débuté par un débat de 2 heures animé par une journaliste, débat entre les autres professions, les autorités publiques (Autorité de la concurrence, Chancellerie), ayant pour ma part à y apporter le regard académique :

Ce débat fut particulièrement animé et vivant, ne serait-ce qu'en raison de la configuration des lieux, chacun étant placé pour entrer dans un dialogue :

🎤 J'y pris la parole en premier pour insister sur le fait que les "professions" sont des structures qui ont un grand avenir, en ce qu'elles s'articulent avec le système économique libéral, qu'elles sont par nature régulées et porteuses de régulation, dans des systèmes qui, pour demeurer libéraux, vont en avoir de plus en plus besoin. Cela est pertinent pour la profession des Commissaires de justice qui procurent de la sécurité, via de l'incontestabilité reposant aussi sur le lien entre celle-ci et les faits, et qui assurent l'effectivité des engagements en gardant le souci du lien social.

🎤 J'ai repris la parole lorsque la place de la Compliance fut évoquée. Dépassant l'exigence de "conformité", qui n'est qu'un outil de la Compliance, j'ai montré l'avenir du Droit de la Compliance, notamment dans l'Europe qui associe dynamisme économique, souci des personnes et de l'environnement, et l'alliance que cela implique entre les Autorités politiques et publiques et les entités susceptibles de participer à la concrétisation de ces Buts Monumentaux de la Compliance.

📕 Pour aller plus loin :  M.-A. Frison-Roche (dir.), Les buts monumentaux de la compliance, 2022.

________

regarder la présentation du colloque par le président du Congrès

♾️ suivre Marie-Anne Frison-Roche sur LinkedIn

♾️s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence complète : M.-A. Frison-Roche, membre du jury de la thèse d'Antoine Oumedjkane, Compliance et droit administratif, Université de Montpellier, Salle des Actes, Université de Montpellier, 5 décembre 2022, 14h- 

____

🪑🪑🪑Autres membres du jury :  

🕴🏻Pascale Idoux, directrice de la thèse 

🕴🏻Lucie Cluzel-Métayer, rapporteure 

🕴🏻Aude Rouyère, rapporteure

🕴🏻Thomas Perroud, professeur à l'Université Panthéon-Assas (Paris II)

____

► La thèse a été ultérieurement publié : cliquer ICI

____

🌐suivre Marie-Anne Frison-Roche sur LinkedIn

🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law

____

► Référence générale : M.-A. Frison-Roche, "Contrat de compliance, clauses de compliance", Chronique de Droit de la Compliance, D.2022, p.2115-2117.

____

📝Lire l'article

____

► Présentation de l'article : L’on ne voit souvent dans le droit de la compliance que l’obligation de se conformer à la réglementation. Le droit des obligations en est comme masqué par l’étude des textes et des sanctions. Les cas de responsabilité civile commencent à faire ressortir les engagements des entreprises, actes de volonté. Reste à discerner l’importance des contrats.

En premier lieu, existe un contrat spécifique : le « contrat de compliance ». Il a pour objet la fourniture par un tiers d’une prestation, les moyens pour l’entreprise de « se conformer » à la loi, ou/et de permettre à celle-ci d’atteindre les buts monumentaux qui caractérise le droit de la compliance. L’interprétation et le régime du contrat de compliance doit être marqué par le Droit de la compliance qui l’imprègne. En second lieu, des multitudes de clauses visent la conformité et la compliance.

____

🚧lire le document de travail ayant servi de base à l'article

____

📚Lire les autres articles publiés dans la chronique de Droit de la Compliance publiées au Recueil Dalloz.

________

♾️ suivre Marie-Anne Frison-Roche sur LinkedIn

♾️s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence complète : M.-A. Frison-Roche, "Ce qui est commun à la Compliance, au Contrat et aux Parties contractantes". Éléments pour la synthèse", in Journal of Regulation & Compliance (JoRC) et Université de Nîmes Compliance et Contrat : les acteurs et leurs stratégies, Nîmes, 18 novembre 2022.

____

🧮 lire le programme complet du colloque

____

🏗️Ce colloque prend place dans le cycle de colloques, organisé par le Journal of Regulation & Compliance (JoRC) et les Universités qui sont ses partenaires académiques, pendant l'année 2022/2023 autour du thème général L'obligation de compliance.

____

► des difficultés techniques et d'organisation du temps ont empêché l'exposé oral de la synthèse réalisée sur le vif au terme de l'audition des différentes contributions faites dans la journée.  Il en reste donc les notes prises sous la forme d'un document de travail, auquel le lendemain ont été ajoutées quelques notes en pop-up pour aller plus loin.

____

► Résumé du document de travail résumant le colloque : En premier lieu, il convient de ne pas confondre les trois piliers dont l'enjeu est de percevoir l'articulation. En effet pour mesurer les stratégies des parties par l'usage qu'elles font du contrat au regard de leurs obligations de compliance, il faut distinguer leurs obligations de conformité et leurs obligations de compliance; distinguer dans les contrats les éléments subjectifs (que sont les parties) des éléments objectifs (que sont les clauses), distinguer le contrat au sens technique des mouvements de "contractualisation" qui renvoie à une appellation plus large et plus vague, distinguer entre la partie juridiquement contractante, personne morale ou personne physique, de l'entreprise, souvent désignée comme le sujet du Droit de la Compliance, distinguer l'usage que celle-ci fait de son pouvoir normatif de l'usage qu'elle fait de son pouvoir contractuel, distinguer les techniques juridiques de régulation au sens strict de ce qu'on désigne souvent d'une façon plus générale et plus vague comme un pouvoir de "régulation". Ces distinctions sont d'autant plus bienvenues que s'agissant des parties contractantes, il convient de distinguer les parties au contrat et les "parties prenantes" telles que le Droit de la Compliance les considère, l'ensemble de ces distinctions et articulations montrant qu'à première vue le Droit de la Compliance montrant plutôt l'entreprise assujettie dans un rapport avec la norme unilatéralement édictée, le contrat ne lui serait pas forcément l'instrument le plus naturellement adéquat.

Pourtant, en deuxième lieu, les clauses de compliance, voire les contrats de compliance, ont été multipliées par les entreprises parce que c'est un moyen pour elles de satisfaire leurs obligations légales de compliance en se créant, par le contrat, des débiteurs qui exécutent des prestations de compliance. Ainsi, c'est parce qu'il est assujetti légal qu'il devient créancier contractuel tandis que son cocontractant en devient débiteur parce que sa profession l'implique ou parce que sa position dans la chaîne de valeur l'implique.

En troisième lieu, les créanciers et les débiteurs contractuels d'un contrat de compliance ou d'une clause de compliance peuvent être concrètement saisis, comme le font les textes eux-mêmes qui ne visent que les opérateurs cruciaux, les contrats distinguant parmi les parties des catégories concrètement distinctes.

____

🔓Lire les développements du document de travail, constituant la synthèse du colloque, ci-dessous ⤵️

♾️ suivre Marie-Anne Frison-Roche sur LinkedIn

♾️s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence complète : M.-A. Frison-Roche, "Le juge, tiers régulateur des obligations contractuelles de compliance", in Journal of Regulation & Compliance (JoRC) et Université de Nîmes, Laboratoire CHROME, Compliance et Contrat : les acteurs et leurs stratégies, Nîmes, 18 novembre 2022.

____

🏗️Cette conférence prend place dans le cycle de colloques, organisé par le Journal of Regulation & Compliance (JoRC) et les Universités qui sont ses partenaires académiques, pendant l'année 2022/2023 autour du thème général L'obligation de compliance.

____

🎤 consulter la synthèse également faite de ce colloque

____

🧮Consulter le programme complet de cette manifestation

____

🚧lire le document de travail servant de base à cette conférence

____

📝Cette conférence sera la base d'un article, à paraître dans un ouvrage qui en résultera, dans sa version française, dans la collection 📚Régulation & Compliance coéditée entre le  JoRC et les Editions Dalloz, et dans sa version anglaise, dans la collection 📚Compliance & Regulation coéditée entre le JoRC et les Editions Bruylant.

____

♾️ suivre Marie-Anne Frison-Roche sur LinkedIn

♾️ s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence complète : M.-A. Frison-Roche, Automated Compliance, a pertinent tool for Compliance Law, the whole, document de travail, novembre 2022.

____

📝Ce document de travail sert de base à une participation à un débat sur "Automated Compliance : "the" solution or "a" solution?, qui déroule dans le Sommet global de Gaia-X  le 17 novembre 2022.  

____

►Résumé du document de travail : s'appuyant sur la présentation préalablement faite au débat par un membre de la Commission européenne, il s'agit de souligner trois éléments qui montrent que l' Automated Compliance (ou Compliance by design) est à la fois un outil central, mais qu'il n'est un outil du Droit de la Compliance dont il ne saurait remplir par sa seule performance technologique toutes les fonctions dans un Etat de Droit.

En premier lieu, l'Union européenne semble en difficulté lorsqu'elle veut tout à la fois bâtir un système juridique qui lui est propre sur la base de Lois dont chacune est la pièce d'un gigantesque puzzle pour obtenir une industrie pérenne et autonome dans une économie numérique mondiale totalement renouvelée, ce qui fait peser sur les entreprises une charge considérable d'intégration de toutes ces règles du jeu, tout en affirmant qu'il faut alléger la charge que la "réglementation" fait peser sur elles.

En second lieu, la meilleure solution pour résoudre cette ambition contradictoire est effectivement dans la technologique, les algorithmes intégrant directement les réglementations. Mais plus encore, l'ensemble de ces textes reposent sur une autonomie laissée en Ex Ante aux entreprises européennes pour s'organiser entre elles afin de concrétiser les "buts monumentaux" que l'Union européenne a décidé d'atteindre, dont la réalisation d'un cloud souverain est au centre.

Ainsi la distinction et l'articulation d'un "Droit de la Compliance", défini par ces "buts monumentaux", dont lequel l'intelligence artificielle est un outil, le "tout" (Compliance Law) et la "partie" (Automated Compliance) est essentielle.

En troisième lieu, cette distinction et articulation est non seulement bénéfice mais elle est obligatoire. En effet, même si le Droit de la Compliance constitue une branche du Droit, elle fonctionne dans le système juridique générale, qui ne fonctionne que par l'esprit des textes, les outils algorithmiques ne capturant que la lettre de ceux-ci. Ces tribunaux sont et seront au cœur du Droit de la Compliance, le cas Schrems l'a bien montré. C'est pourquoi la Technologie et le Droit doivent travailler ensemble, et davantage à l'avenir, notamment parce qu'un outil pour l'effectivité du Droit ne pourra jamais rendre compte de la vie même du système juridique.

________

🔓Lire ci-dessous les développements⤵️

🌐suivre Marie-Anne Frison-Roche sur LinkedIn

🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law

____

► Référence complète : M.-A. Frison-Roche, Audition en qualité d'amica curiae par le Tribunal judiciaire de Paris, en formation de référé, sur le système de compliance et la place qu'y occupe le devoir de vigilance, 26 octobre 2022

____

Cette audition a été faite en compagnie de deux autres amici curiae, pareillement désignés par le Tribunal : les professeurs Jean-Baptiste Racine et Bruno Deffains.

Cette audition a été demandée par et à l'initiative du Tribunal judiciaire de Paris à l'occasion d'un contentieux qui oppose des associations à l'entreprise TotalEnergie, les premières alléguant des manquements au devoir de vigilance de la part de la seconde, le Tribunal demandant à des personnalités hautement qualifiées de l'éclairer sur le système de compliance et ses implications.

_____

📝lire l'article de compte-rendu d'audience publié le 27 octobre 2022 par Olivia Dufour. (Actu-juridique)

📝lire l'article de compte-rendu de l'audience du 7 décembre 2022, représentant la présentation du Droit de la Compliance par MaFR publié le 7 décembre 2022 par Mathilde Golla (Les Echos)

📝lire l'article sur le recours à l'amicus curiae, débutant par le recours fait dans cette affaire, publié le 8 décembre 2022 par Nicolas Cayrol (Recueil Dalloz)

________

► Référence complète : F. Ancel, "Compliance Law, a new guiding principle for the Trial?", in M.-A. Frison-Roche (ed.), Compliance Jurisdictionalisation, Journal of Regulation & Compliance (JoRC) et Bruylant, coll. "Compliance & Regulation", à paraître.  

____

📘lire une présentation générale de l'ouvrage, Compliance Jurisdictionalisation, dans lequel cet article est publié

____

► Résumé de l'article (fait par le Journal of Regulation & Compliance) : Through this article, the author formulates a proposal: elevating the principle of compliance to the rank of leading principle of the trial. To support this, the author firstly emphasizes the convergence of the aims of compliance and the purpose of the trial. Indeed, emphasizing that Compliance Law does not oust either the State or the judge, as soon as compliance means that the person must keep their commitments and that the trial is also based on this principle that the parties must conform to the principles and to their own "speech", compliance thus becomes a trial leading principle.

In a second part of the article, the author illustrates his point in a very concrete way. First, the protocols of procedure which are drawn up by the courts and the bars are commitments which should justify a form of constraint which, if it should not have the same form and nature as that of the law, must all the same even have consequences when a party fails to do so. Secondly, relying on French case law which sanctions a party which had accepted the principle of an arbitration and then systematically hinders its implementation, the author suggests that under the principle of compliance can be grouped the notions for the instant scattered of loyalty, consistency (estoppel) and efficiency.

Thus, this "open practice" echoing the "open way" of a procedural principle of compliance brings out this one.

____

🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche

________