Dictionnaire bilingue du Droit de la Régulation et de la Compliance
En principe le mécanisme même de marché est gouverné par la liberté, les libertés des agents eux-mêmes - liberté d'entreprendre et de contracter - et liberté concurrentielle qui marque le marché lui-même, la convergence de ces libertés permettant le fonctionnement autorégulé de la "loi du marché", à savoir la rencontre massifié des offres et des demandes qui engendre le prix adéquat ("juste prix").
Pour que cela fonctionne, il faut mais il suffit qu'il n'y ait pas de barrière à l'entrée et qu'il n'y ait pas de comportement par lesquels des opérateurs puissent entraver cette loi du marché concurrentiel, ces abus de marché étant l'abus de position dominante et l'entente.
Mais s'il s'agit des marchés financiers, lesquels sont des marchés régulés, les "abus de marchés" y sont sanctionnés au cœur même de la régulation. En effet, la régulation des marchés financiers suppose que l'information y soit distribué au profit des investisseurs, voire d'autres parties prenantes, éventuellement des informations non exclusivement financières. Cette intégrité des marchés financiers qui, au-delà de l'intégrité de l'information, doivent atteindre la transparente, justifie que l'information soit pleinement et également partagée. C'est pourquoi ceux qui ont titulaire ou doivent être titulaire d'une information qui n'est pas partagée par les autres (information privilégiée) ne doivent pas l'utiliser sur le marché tant qu'ils ne l'ont pas rendu publiques. De la même façon, ils ne doivent pas diffuser de mauvaises informations au marché. Pas plus qu'ils ne doivent manipuler les cours.
Ces sanctions ont été essentiellement conçues par la théorie financière américaine, concrétisées par les juridictions américaines, puis reprises en Europe. Dans la mesure où elles sanctionnent à la fois un comportement reprochable et constituent un instrument d'ordre public de direction et de protection des marchés, la question du cumul du droit pénal et du droit administratif répressif ne pouvait que se poser avec difficulté et agressivité.
15 mars 2023
Base Documentaire : Doctrine
► Référence complète : J.-Ch. Roda, "Compliance, Internal Investigations and International Competitiveness: What are Risks for the French Companies (in the Light of Antitrust Law)?", in M.-A. Frison-Roche (ed.), Compliance Monumental Goals, coll. "Compliance & Regulation", Journal of Regulation & Compliance (JoRC) et Bruylant, 2023, p. 355-368.
____
📘consulter une présentation générale de l'ouvrage, Compliance Monumental Goals, dans lequel cet article est publié.
____
► Résumé de l'article :
________
12 janvier 2023
Base Documentaire : 05. CJCE - CJUE
Référence complète : CJUE, 1ière ch., 12 janv. 2023, RW c. Österreichische Post AG, C-154/21.
____
_____
Fiche de l'arrêt : Dans un contentieux entre un particulier et une entreprise postale (RW c. Österreichische Post AG, la Cour suprême de l'Autriche a décidé le 18 février 2021 de saisir la CJUE d'une question préjudicielle sur le sens à donner au "droit d'accès de la personne concernée à ses données" (article 15 RGPD) : jusqu'où doivent aller les informations à lui communiquer sur les destinataires ou catégories de destinataires auxquelles ces informations sont communiquées par celui qui recueille ces informations.
considérant les observations présentées :
– pour RW, par Me R. Haupt, Rechtsanwalt,
– pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,
– pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,
– pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,
– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,
– pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,
– pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,
– pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,
– pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.
Le cadre juridique
3 Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :
« (4) [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]
[...]
(9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]
[...]
(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]
[...]
(63) Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]
[...]
(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »
4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :
« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »
5 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
6 L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :
« 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
[...]
5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou
b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
[...] »
7 L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :
« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[...]
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]
[...] »
8 L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :
« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
[...]
e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
[...] »
9 Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
a) les finalités du traitement ;
b) les catégories de données à caractère personnel concernées ;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
f) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »
10 L’article 16 du RGPD, intitulé « Droit de rectification », dispose :
« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »
11 Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
[...] »
12 L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :
« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
[...] »
13 L’article 19 du RGPD est ainsi libellé :
« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »
14 Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :
« 1. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.
3. Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
4. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.
5. Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
6. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »
15 L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
16 L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :
« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
Le litige au principal et la question préjudicielle
17 Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.
18 En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.
19 RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.
20 Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.
21 Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.
22 RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.
23 Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.
24 Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.
25 En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.
26 Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.
27 Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »
Sur la question préjudicielle
28 Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.
29 À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).
30 S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.
31 À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.
32 Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.
33 Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.
34 En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).
35 Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.
36 En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.
37 En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).
38 En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).
39 Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.
40 Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.
41 Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.
42 Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.
43 Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.
44 Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).
45 Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.
46 Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.
47 Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).
48 Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.
49 En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.
50 En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.
51 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Sur les dépens
52 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Signatures
* Langue de procédure : l’allemand.
ARRÊT DE LA COUR (première chambre)
12 janvier 2023 (*)
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 15, paragraphe 1, sous c) – Droit d’accès de la personne concernée à ses données – Informations sur les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées – Limitations »
Dans l’affaire C‑154/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Oberster Gerichtshof (Cour suprême, Autriche), par décision du 18 février 2021, parvenue à la Cour le 9 mars 2021, dans la procédure
RW
contre
Österreichische Post AG,
LA COUR (première chambre),
composée de M. A. Arabadjiev, président de chambre, M. L. Bay Larsen, vice‑président de la Cour, faisant fonction de juge de la première chambre, MM. P. G. Xuereb, A. Kumin et Mme I. Ziemele (rapporteure), juges,
avocat général : M. G. Pitruzzella,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour RW, par Me R. Haupt, Rechtsanwalt,
– pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,
– pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,
– pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,
– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,
– pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,
– pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,
– pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,
– pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.
Le cadre juridique
3 Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :
« (4) [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]
[...]
(9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]
[...]
(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]
[...]
(63) Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]
[...]
(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »
4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :
« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »
5 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
6 L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :
« 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
[...]
5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou
b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
[...] »
7 L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :
« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[...]
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]
[...] »
8 L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :
« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
[...]
e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
[...] »
9 Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
a) les finalités du traitement ;
b) les catégories de données à caractère personnel concernées ;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
f) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »
10 L’article 16 du RGPD, intitulé « Droit de rectification », dispose :
« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »
11 Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
[...] »
12 L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :
« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
[...] »
13 L’article 19 du RGPD est ainsi libellé :
« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »
14 Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :
« 1. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.
3. Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
4. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.
5. Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
6. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »
15 L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
16 L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :
« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
Le litige au principal et la question préjudicielle
17 Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.
18 En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.
19 RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.
20 Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.
21 Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.
22 RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.
23 Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.
24 Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.
25 En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.
26 Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.
27 Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »
Sur la question préjudicielle
28 Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.
29 À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).
30 S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.
31 À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.
32 Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.
33 Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.
34 En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).
35 Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.
36 En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.
37 En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).
38 En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).
39 Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.
40 Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.
41 Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.
42 Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.
43 Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.
44 Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).
45 Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.
46 Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.
47 Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).
48 Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.
49 En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.
50 En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.
51 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Sur les dépens
52 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Signatures
* Langue de procédure : l’allemand.
15 décembre 2022
Base Documentaire : Doctrine
► Référence complète : P. Larouche, "Pluralisme et multivalence en analyse économique du droit", Revue de droit d'Assas, n°24, déc. 2022, p.126-129.
----
► Résumé de l'article : L'auteur montre que l'on a parfois une vision déformée de l'Analyse économique du Droit. Après avoir souligné que l'interdisciplinarité débute souvent par une "phase de déception initiative", il rappelle les profits de celle-ci à condition que chaque discipline respecte l'autre.
Or, dans l'analyse économique du droit, chacun s'est souvent bloqué, l'on en reste souvent au premier stade.
Sans doute, parce que ce mouvement né aux Etats-Unis il y a 60 ans, participait alors au mouvement de l'époque visant à faire de l'économie "une science à part entière à l'instar des sciences naturelles", mais ne prétendait pas décrire le monde ni constituer un système de preuves.
Ce n'est que plus tard que la "théorie du coût social" de Coase (1960) a été perçue comme pouvant s'appliquer à tout, ce que l'auteur ne prétendait pas.
Ce n'est qu'en 1970 que Posner y associe ce qui serait une supériorité du Common Law, le courant Law and Economics étant rejeté par les non anglo-américains.
Mais ce double lien entre la conception très libérale de 1960 et très culturelle de 1970 n'est pas intrinsèque à l'AED.
En outre, pour Coase, les coûts de transactions sont faibles, parce qu'ils sont engendrés par le système juridique lui-même. Aujourd'hui, on admet au contraire qu'ils sont élevés parce qu'ils constituent par l'ensemble du système juridique, l'AED intégrant le pluralisme juridique.
Dès lors, le Droit reprend face à l'Economie à la façon sa spécificité et son ampleur.
L'AED ne peut plus aussi facilement que dans la conception précédente en tirer des conséquences normatives, où la réglementation américaine semblait pouvoir engendrer des solutions applicables partout parce qu'enrichie par l'analyse économique.
Corrélativement, le Droit doit moins rejeter l'analyse économique, dès l'instant que ce qu'est le Droit y est respecté, notamment l'économie de l'information.
________
14 décembre 2022
Base Documentaire : 06.1. Textes de l'Union Européenne
► Référence complète : Directive (UE) 2022/2464 du Parlement européen et du Conseil, du 14 décembre 2022, modifiant le règlement (UE) n° 537/2014 et les directives 2004/109/CE, 2006/43/CE et 2013/34/UE en ce qui concerne la publication d’informations en matière de durabilité par les entreprises (dite "CSRD" (Corporate Sustainability Reporting Directive)).
____
________
Mise à jour : 1 septembre 2022 (Rédaction initiale : 4 novembre 2021 )
Publications
♾️ suivre Marie-Anne Frison-Roche sur LinkedIn
♾️ s'abonner à la Newsletter MAFR Regulation, Compliance, Law
____
► Référence complète : M.-A. Frison-Roche, "Appréciation du lancement d'alerte et de l'obligation de vigilance au regard de la compétitivité internationale", in M.-A. Frison-Roche (dir.), Les Buts Monumentaux de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2022, p. 413-436.
____
____
🚧lire le document de travail bilingue sur la base duquel cet article a été élaboré, doté de développements supplémentaires, de références techniques et de liens hypertextes
____
📕consulter une présentation générale de l'ouvrage, Les Buts Monumentaux de la Compliance, dans lequel cet article est publié
____
► Résumé de l'article (fait par le Journal of Regulation & Compliance) : Si l'on reprend techniquement les outils juridiques de Compliance et qu'on les confronte au souci que le Droit doit avoir de la Compétitivité des entreprises, il faut que ces instruments juridiques n'y nuisent pas parce que le Droit de la Compliance, en raison de ses ambitions immenses, ne peut fonctionner que par une alliance entre des volontés politiques aux grandes prétentions (sauver la planète) et les entités qui sont aptes à concrétiser celles-ci (les opérateurs économiques cruciaux) : la volonté politique puisant dans la puissance des entreprises, il serait contradictoire que les instruments juridiques mis en place par le Droit nuisent à l'aptitude des entreprises à affronter la compétition économique mondiale, ou pire favorisent des compétiteurs internationaux relevant de système juridiques n'intégrant pas ses instruments du Droit de la Compliance.
À partir de ce principe, l'on peut porter une appréciation sur ces deux techniques que sont le lancement d'alerte et l'obligation de vigilance : les deux consistent à capter de l'information, ce qui leur donne une forte unicité et les insère dans la compétition mondiale pour l'information.
Si l'on prend tout d'abord le lancement d'alerte, il apparaît que le premier bénéficiaire de celui-ci est l'entreprise elle-même puisqu'elle découvre une faiblesse et peut donc y remédier. C'est pourquoi qu'au-delà du principe de protection du lanceur d'alerte par l'accès de celui-ci au statut légal conçu par la loi dite "Sapin 2", il est critiquable que toutes les incitations ne sont pas mises en place pour que le titulaire d'une telle information la transmette au manager et que la loi, même après la transposition de la directive européenne de 2019, continuera d'exiger l'absence de contrepartie, la figure "héroïque du lanceur d'alerte et le refus de sa rémunération privant l'entreprise d'un moyen d'information et d'amélioration. Mais la législation française a au contraire développé la bonne incitation quant à la personne à laquelle l'information est transmise car en obligeant à transmettre d'abord au manager, la transmission externe intervenant si celui-ci ne fait rien, l'incitation est ainsi faite au responsable interne d'agir et de mettre fin au dysfonctionnement, ce qui accroît la compétitivité de l'entreprise.
Plus encore et même si cela paraît contre-intuitif, l'obligation de vigilance accroît fortement la compétitivité des entreprises qui y sont soumises. En effet la Loi en les obligeant à prévenir et à lutter contre les atteintes aux droits humains et à l'environnement leur a tacitement donnés tous les pouvoirs nécessaires pour le faire, notamment le pouvoir de capter des informations sur des entreprises tierces, y compris (voire surtout) celles qui ne sont pas soumises à des obligations de transparence. En cela, les entreprises, en tant qu'elles sont à ce titre responsables personnellement, détiennent un pouvoir de supervision sur d'autres, pouvoir qui permet de mondialisation le Droit de la Compliance et qui, au passage, accroît leur propre puissance. C'est pourquoi l'obligation de vigilance est à bien des égard une aubaine pour les entreprises qui y sont soumises. La reprise du mécanisme par la prochaine Directive européenne, elle-même indifférente au territoire, ne fera que renforcer ce pouvoir global des entreprises vigilantes sur des entreprises éventuellement étrangères qui en deviennent les sujets passifs.
________
1 septembre 2022
Base Documentaire : Doctrine
► Référence complète : J.-Ch. Roda, "Compliance, enquêtes internes et compétitivité internationale : quels risques pour les entreprises françaises (à la lumière du droit antitrust) ?", in M.-A. Frison-Roche (dir.), Les Buts Monumentaux de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2022, p. 367-380.
____
📕consulter une présentation générale de l'ouvrage, Les Buts Monumentaux de la Compliance, dans lequel cet article est publié
____
► Résumé de l'article (fait par le Journal of Regulation & Compliance) : L'auteur puise dans le Droit américain et européen de la concurrence pour mesurer si effectivement les enquêtes internes, en tant qu'elles fournissent des éléments factuels, peuvent fournir à des Autorités étrangères et des concurrents, ici américains, des "informations sensibles" (notamment via les programmes de clémences), et à ce titre constituent un handicap concurrentiel. Mais cela s'avère assez difficile alors que des audits de compliance, par exemple au titre du devoir de vigilance, peuvent fournir aux plaideurs américains des informations utiles, puisées dans des pièces internes, notamment les rapports de compliance officers , captables par les procédures de discovery.
Le Droit français demeure faible face à ces dangers, en raison de son refus de reconnaître un legal privilege concernant ces documents internes, contrairement au Droit américain et l'efficacité conséquente de la discovery dans les procédures internationales, concernant les documents internes, notamment résultant d'enquêtes internes. Des solutions ont été proposées, l'activation d'une nouvelle conception des lois de blocage étant complexe, la perspective d'adopter un legal privilege étant plus efficace, mais il demeurerait l'hypothèse de conflit international de privilege, le Droit américain ayant une conception stricte du legal advice justifiant celui-ci et les juges contrôlant que les entreprises ne le manient pas artificiellement.
________
1 juillet 2022
Conférences
► Référence générale : Frison-Roche, M.-A. Compliance, Intelligence artificielle et gestion des entreprises : : la juste mesure, participation à la conférence coordonnée par Mustapha Mekki, L'intelligence artificielle et la gestion des entreprises. 1ier juillet 2022.
____
____
consulter les slides ayant servi de notes brèves pour prononcer la conférence.
____
🚧lire le document de travail ayant servi de base à la conférence
____
📝Cette conférence sera suivie d'un article.
____
► Résumé de la conférence : Du prochaine Règlement européen sur l'intelligence artificielle, la Commission européenne en a une conception assez neutre pour obtenir un consensus entre les Etats membre, tandis que les Régulateurs et certains Etats en ont une conception plus substantielle voulant que la puissance de celle-ci soit utilisée pour protéger les personnes, et contre ses outils eux-mêmes et contre ce qui est une amplification des maux du monde, comme la haine ou la désinformation. C'est le reflet d'une alternative d'une conception de la Compliance.
En premier lieu, la Compliance peut se définir comme des process neutres qui accroissent l'effectivité de ce qui serait l'obligation des entreprises ou leur volonté pour une bonne gestion des risques (notamment des "risques juridiques") de se soumettre à la totalité des réglementations qui sont applicables à elle-même et toutes les personnes dont elle doit répondre. C'est ce l'on appelle souvent l'obligation de conformité.
Cette conception implique des conséquences pratiques considérables pour l'entreprise qui pour réussir cet "exploit total" devrait alors recourir à des outils d'intelligence artificielle constituant une "solution totale et infaillible", ce qui engendre mécaniquement pour elle l'obligation de "connaitre" toute la "masse réglementaire", de détecter toutes les "non-conformités", de concevoir son rapport au Droit en termes de "risque de non-conformité", pris totalement en charge par la Compliance by Design qui pourrait, sans intervention humaine, éliminer le risque juridique et garantir la "conformité.
Le "prix juridique" de ce rêve technologique en est très élevé car toutes les prescriptions "réglementaire" vont alors se transformer en obligations de résultat, toute défaillance engendrant responsabilité. Le système probatoire de la Compliance va devenir écrasant pour l'entreprise, tant en termes de charge de preuve, que moyens de preuve, que transferts , sans dispense de preuve. Vont se multiplier des responsabilités objectives pour autrui. Le "droit de la conformité" va multiplier des pénalités systémiques Ex Ante , la frontière avec le Droit pénal étant de moins en moins préservée.
Il est essentiel d'éviter cela, et pour les entreprises, et pour l'Etat de Droit. Pour cela, il faut utiliser l'Intelligence Artificielle à sa juste mesure : elle doit constituer une "aide massive", sans jamais prétendre être une solution totale et infaillible, car c'est l'humain qui doit être au centre et non pas les machines.
Pour cela, il faut adopter une conception substantielle du Droit de la Compliance (et non pas Droit de la conformité). Elle ne vise pas du tout l'ensemble des réglementations applicables et elle n'est pas du tout "neutre", n'ayant en rien une série de process. Cette nouvelle branche du Droit est substantiellement construite sur des buts monumentaux. Ceux-ci sont soit de nature négative (éviter qu'une crise systémique n'arrive, bancaire, financière, sanitaire, climatique, etc.), soit de nature positive (construire un meilleur équilibre, notamment entre les êtres humains, dans l'entreprise et au-delà de celle-ci).
Dans cette conception qui se manifeste de plus en plus fortement, l'intelligence artificielle trouve sa place, plus modeste. En tant que le Droit de la Compliance est basé sur l'information, l'Intelligence Artificielle est indispensable pour la capter et en faire une première mise en connection, la rendant en état d'analyses successives, notamment de la part d'êtres humains, pour qu'il y ait possibilité de ce qui est l'essentiel : l'engagement de l'entreprise, à la fois par les dirigeants et par tous ceux qui sont "embarqués" par une "culture de Compliance" qui est à la fois construite et commune.
Cela redonne l'étanchéité requise entre le Droit pénal et ce que l'on peut demander à l'usage mécanique de l'intelligence artificielle, cela remet l'obligation de moyens comme principe. Cela redonne la place centrale au juriste et au Compliance officer , pour que s'articulent la culture de compliance avec la culture d'un secteur et l'identité de l'entreprise elle-même. En effet, la culture de compliance étant indissociable d'une culture de valeurs, la Compliance by design suppose une double technique, à la fois mathématique et de culture juridique. C'est en cela que le Droit européen de la compliance, en ce qu'il est enraciné dans la tradition humaniste européen, est un modèle.
____
Pour aller plus loin :
📕Les buts monumentaux de la Compliance, 2022
📕La juridictionnalisation de la Compliance, 2022
📕Les outils de la Compliance, 2021
📓L'apport du Droit de la Compliance à la Gouvernance d'Internet, 2019
📕Pour une Europe de la Compliance, 2019
📕Régulation, Supervision, Compliance, 2017
📕 Internet, espace d'interrégulation, 2016
📝 Les Buts Monumentaux, cœur battant du Droit de la Compliance, 2022,
📝 Le jugeant- jugé ; articuler les mots et les choses face à l'impossible conflit d'intérêts, 2022
📝 Décrire, concevoir et corréler les outils de la Compliance, pour en faire un usage adéquat, 2021
📝 Compliance et incitations, un couple à propulser, 2021
📝 Résoudre la contradiction entre incitations et sanctions sous le feu du Droit de la Compliance, 2021
📝Dresser des cartographies des risques comme obligation et le paradoxe des "risques de conformité", 2021
📝 La formation : contenu et contenant du Droit de la Compliance, 2021
📝 Les droits subjectifs, outils premiers et naturels du Droit de la Compliance, 2021
📝 Le Droit rêvé de la Compliance, 2020
📝 Un Droit substantiel de la Compliance, appuyé sur la tradition européenne humaniste, 2019
📝 Se tenir bien dans l'espace numérique, 2019
📝 Droit de la concurrence et Droit de la compliance, 2018
📝 Entreprise, Régulation, Juge : penser la compliance par ces trois personnages, 2018
📝 Compliance : avant, maintenant, après, 2018
📝 Du Droit de la Régulation au Droit de la Compliance, 2017
📝 Tracer les cercles de la Compliance,2017,
📝 Compliance et Confiance, 2017
📝 Le Droit de la Compliance, 2016
15 février 2022
Compliance : sur le vif
Mise à jour : 5 février 2022 (Rédaction initiale : 10 octobre 2021 )
Publications
► Référence complète : Frison-Roche, M.-A., Appréciation du lancement d'alerte et de l'obligation de vigilance au regard de la compétitivité internationale, document de travail, oct. 2021 et février 2022.
____
🎤 Ce document de travail a servi de base à une conférence, dans le colloque Effectivité de la Compliance et Compétitivité internationale, coorganisé par le Journal of Regulation & Compliance (JoRC) et le Centre de recherche en Droit et en Économie de l'Université Panthéon-Assas (Paris II), se tenant le 4 novembre 2021, Salle des Conseils, Université Panthéon-Assas (Paris II).
Il a été mis à jour en février 2022, car portant en grande partie sur le mécanisme du lancement d'alerte, tel que notamment organisé par la loi française du 9 décembre 2016, dite "Sapin 2", pour tenir compte des changements dans le mécanisme légal apporté par la loi du ... février 2022 transposant la directive européenne du 23 octobre 2019.
🚧Il est corrélé à un second document de travail ayant pour thème : Le principe de Proximité systémique active, corolaire du renouvellement du Principe de Souveraineté par le Droit de la Compliance, également préparé pour ce colloque.
____
📝Ce document de travail mis à jour constitue aussi la base d'un article, Appréciation du lancement d'alerte et de l'obligation de vigilance au regard de la compétitivité internationale, qui sera publié⤵
📕dans sa version française dans l'ouvrage Les buts monumentaux de la Compliance, dans la collection 📚Régulations & Compliance
📘dans sa version anglaise dans l'ouvrage Compliance Monumental Goals, dans la collection 📚Compliance & Regulation
____
► Introduction et Résumé du document de travail : Les "outils de la compliance" sont très divers 📎!footnote-2327. S'il a été choisi de traiter ici plus particulièrement le lancement d'alerte et l'obligation de vigilance, ces mécanismes-là plutôt que d'autres, et de les réunir tous deux bien qu'issus de lois différentes 📎!footnote-2328 - le lancement d'alerte étant issu de la loi dite "Sapin 2" de 2016, recopié du Droit américain tandis que l'obligation de vigilance, apparue dans la loi dite "Vigilance" de 2017 est une invention du législateur français désormais recopiée par d'autres -, c'est parce qu'ils présentent une unité au regard du sujet spécifique ici retenu, à savoir "la compétitivité internationale", - compétitivité internationale des entreprises et compétitivité internationale de la zone économique et du système juridique dont elles relèvent économiquement, les deux étant indissociables 📎!footnote-2325 - : cette unicité vient du fait que ce sont deux mécanismes qui font sortir de l'information.
Sur ordre de ces deux Lois, l'entreprise va non seulement cesser d'ignorer ce qu'elle recouvrait peut-être du mouchoir que Tartuffe lui tendait ou qu'une conception traditionnelle du Droit des sociétés lui permettait légitimement d'ignorer mais encore elle va désormais elle-même rechercher la vérité plus profondément et au loin, incitant ceux qui la détiennent à la lui transmettre (lanceurs d'alerte), allant elle-même au plus près de là où il y a un risque (devoir de vigilance, voire obligation de vigilance). En cela, sous une forme subjective, le personnage du lanceur d'alerte, et une forme objective, l'obligation de regarder, l'unité est très forte.
Il ne s'agit pas ici d'examiner si cette révolution que le Droit de la Compliance provoque dans le système juridique est d'une part légitime 📎!footnote-2324 et d'autre part effective, mais d'essayer de mesurer ce qu'il en est au regard de la "Compétitivité internationale".
Est-ce que ces deux mécanismes nouveaux, qui accroissent l'information sur ce qui se passe, handicapent l'entreprise en compétition avec des entreprises qui n'y sont pas soumises (c'est souvent présenté ainsi 📎
Au-delà des généralités comme quoi il serait toujours profitable de respecter le Droit, comme il serait toujours coûteux de risquer une condamnation pour ne pas l'avoir fait, c'est plutôt par un examen de l'instrument technique pris en tant que tel et sous le seul angle économique que l'on peut avancer.
Le Droit de la Compliance sera donc ici examiné à travers ses deux instruments techniques précités pour mesurer si leur effectivité doit avoir aussi pour coût une compétitivité moindre des entreprises qui doivent les respecter et les mettre en oeuvre. S'il devait en être ainsi, dans un martyr de la vertu, l'on peut encore dans un second temps l'assumer, parce que les Autorités publiques, voire les entreprises, peuvent exprimer la prétention de défendre un certain modèle de société. Ce modèle de société devant être défendu "à tout prix", ou à tout le moins pouvant justifier un "certain prix". Mais même la première partie de l'assertion, - selon laquelle les mécanismes de l'alerte et de la vigilance sont économiquement défavorables pour les entreprises qui les mettent en place face à des compétiteurs internationaux non-astreints -, n'est pas acquise.
On entend certes souvent la plainte selon laquelle les Autorités publiques fixent, par ce qui serait un mélange de naïveté et de suffisance, des prétentions immenses, comme la protection des êtres humains, la solidarité, la transition énergétiques, l'évitement de la crise climatique tandis que ce serait les entreprises qui signeraient la facture correspondant à un tel menu.
Le principal reproche n'est pas le coût en soi mais le fait que le bénéfice ainsi produit bénéficie à tous alors que le coût n'est supporté que par quelque uns, les charges de compliance étant supportées par des opérateurs en compétition avec d'autres opérateurs qui non seulement ne contribuent pas à cette charge mais encore bénéficient des effets produits, par exemple en matière climatique. D'une façon générale, l'action contrainte de quelques entreprises assujetties produit des bénéfices communs bénéficiant à d'autres qui n'ont pas fait d'investissements, alors que tous sont compétiteurs.
Le Droit de la Compliance favorise donc des comportements de passagers clandestins, dans ce véhicule normatif au sein duquel un siège a donc été offert par le système juridique local aux entreprises étrangères en compétition avec les entreprises locales.
Plus encore, cela dépasserait la distorsion de concurrence, si souvent dénoncée, pour aller vers le suicide concurrentiel. En effet, il n'y a pas seulement le fait de subir un coût que les autres ne subissent pas (distorsion de concurrence), il s'agit encore de fournir aux autres des informations sur soi-même, des informations sur ses faiblesses, ce dont bénéficient les autres, autres qui restent quant à eux opaques. Il faudrait alors dénoncer un système juridiquement masochiste... C'est en cela que l'on pourrait à tout le moins parler d'un "suicide concurrentiel".
Mais ce constat ne doit pas être opéré d'une façon à ce point générale et abstraite.
En effet, si l'on en reste ici à ce qui est commun au lancement d'alerte et à la vigilance, deux mécanismes juridiques qui suscitent et organisent l'émergence et la transmission adéquate de l'information pour l'exploitation pertinente de celle-ci, il faut distinguer d'une part la détection de l'information et d'autre part le partage de l'information. Si l'on détaille la façon dont le lancement d'alerte est organisé (I), la perspective de compétitivité est plutôt concernée non pas par l'extraction de l'information, mais plutôt par la façon dont elle est partagée. En effet, l'entreprise au sein de laquelle le législateur a imposé une possibilité de lancement d'alerte, l'entreprise découvrant ainsi des failles qu'elle ignorait, la puissance de l'entreprise en est au contraire confortée, ce qui la renforce dans la compétition internationale.
Certes si cela est su à l'extérieur, ce partage de l'information entre l'interne et l'externe peut constituer une faiblesse, sauf à ce que les tiers accordent à l'entreprise une récompense pour une telle démocratie interne, ce qui ne semble pas avéré. Mais la perspective de cet effet négatif externe constitue une incitation pour l'entreprise à régler elle-même, et précocement, toute difficulté qui vient à sa connaissance avant qu'elle ne soit portée à la connaissance de tous, ce qui rejoint le But Monumental de la Compliance : cela validait en 2016 le choix législatif d'une alerte d'abord en interne, c'est-à-dire confidentielle, puis dans un second temps seulement la possibilité de faire une alerte externe lorsque les responsables internes n'avaient pas agi d'une façon efficiente.
Le fait que la législation évolue en 2022 pour ne plus imposer l'alerte interne avant l'alerte externe a pu paraître pour beaucoup la principale modification de la loi : en réalité, elle ne modifie pas cette incitation sur l'entreprise à favoriser l'alerte interne, au contraire. La mise en place d'une option, l'informé pouvant dès le départ choisir entre l'alerte interne ou l'alerte externe incite l'entreprise à l'inciter à préférer la première à la seconde. Ce n'est qu'en cas d'échec de l'un et/ou de l'autre que la façon de la "divulgation publique", c'est-à-dire la communication aux médias, est possible.
La perspective est opposée lorsqu'on examine le devoir de vigilance. S'il s'agit toujours pour l'entreprise d'extraire de l'information qu'elle ne connaissait pas, la différence fondamentale est que l'information pertinente dont il s'agit n'est pas directement en son sein, mais soit dans ses filiales soit dans les entreprises auxquelles elle a "donné des ordres", c'est-à-dire, pour s'exprimer plus trivialement encore, chez des tiers qui souvent dépendent d'elle et dont elle répond personnellement.
La perspective peut alors s'inverser.
En effet, dans la perspective de la compétitivité internationale, il ne s'agit plus de veiller à ne pas diminuer la compétitivité internationale de l'entreprise quant à l'information extraite, en cantonnant celle-ci à l'intérieur de l'entreprise (comme dans le lancement d'alerte) ; tout au contraire, il s'agit d'activer la puissance que recèle le devoir de vigilance pour extraire des informations dans des entités qui sont pourtant sous un autre ciel juridique que celui dont relève l'entreprise obligée par le devoir de vigilance (II).
Dès lors, le devoir de vigilance, puisqu'il implique de par la Loi, pour l'entreprise assujettie, toute la puissance nécessaire afin de remplir le devoir imposé 📎!footnote-2329, permet à cette entreprise d'obtenir des informations, voire d'imposer, notamment par une clause contractuelle📎
C'est ainsi que la compétitivité internationale est accrue grâce aux pouvoirs que leur confère le système juridique par des obligations qui leur donnent des pouvoirs de capter des informations en leur sein et au-delà d'elles-mêmes, pouvoirs qui excèdent largement les frontières juridiques des systèmes de droit dont elles sont les sujets.
________
Lire ci-dessous les développements⤵️
Les oppositions qui se sont exprimées face à la loi du 23 mars 2017 sur la vigilance ont été formulées le plus souvent sur ce thème.
👩🏫Frison-Roche, M.-A. (dir.), 📕Compliance et Contrat, 2023.
20 janvier 2022
Base Documentaire : Doctrine
3 décembre 2021
Conférences
► Référence complète: Frison-Roche, M.A., La protection des lanceurs d'alerte et le Droit de la Compliance, Université d'Orléans, 3 décembre 2021.
____
📅 Lire le programme de ce colloque
____
► Consulter les slides de la conférence
► Présentation de la conférence : La transposition en Droit français de la Directive européenne du 23 octobre 2019 sur la protection des personnes qui signalent des violations du Droit de l'Union ne révolutionne en rien le dispositif tel qu'il a été conçu par la loi dite "Sapin 2". Soit parce que celle-ci, qui avait consacré un chapitre complet au personnage, saisi non pas en tant que tel mais à travers sa protection, avait donc anticipé le texte européen, la Loi n'ayant donc plus rien à achever. Le titre reste d'ailleurs presque le même que celui du chapitre de la loi dite "Sapin 2 : Proposition de loi visant à améliorer la protection des lanceurs d'alerte, avec une proposition de loi organique concernant l'office accru du Défenseur des droits.
Cette sorte d'appréciation en marge de la copie de la précédente loi ("c'est bien, mais peu mieux faire"....) écarte tout vrai changement. Soit parce que s'il y avait eu quelque chose à changer, ce n'était pas tant concernant la protection du lanceur d'alerte que plutôt de ce qui avait été suggéré par beaucoup 📎
En effet, décidemment le singulier sied si peu à ce personnage qu'il faille toujours parler "des lanceurs d'alerte" et non pas du lanceur d'alerte 📎
Dans un Droit de la Compliance, entièrement construit sur les Buts, cela est particulièrement troublant.
En effet, il est acquis que, de la même façon que la cartographie des risques est l'élément objectif du Droit de la Compliance, le lanceur d'alerte est son élément subjectif : le personnage qui est là pour faire sortir de l'information.
En cela le Droit de la Compliance est le prolongement du Droit de la Régulation, lequel lutte contre l'asymétrie d'information (ce qui n'est pas l'objet du Droit de la Concurrence). Le Droit de la Compliance est d'autant plus un Droit centré sur l'information que c'est ainsi qu'il peut atteindre les Buts Monumentaux pour lesquels tous ces instruments, objectifs et subjectifs, sont institués, et dans lesquels sa normativité réside. Ainsi l'entreprise détecte l'information, rassemble l'information, diffuse l'information, etc.
Elle la fait circuler à l'intérieur, elle invite les parties prenantes extérieures à y participer, elle communique des informations internes à des agents externes de légalité. Elle le fait parce qu'elle y est contrainte, le Droit de la Compliance étant empreint d'ordre public de direction, puisque c'est pour la prévention des crises systémiques globales que ce système contraignant s'abat sur les "opérateurs cruciaux", entreprises en position de concrétiser ces buts. Ce n'est que par surabondance que leur raison d'être ou leur responsabilité sociétale peuvent venir reprendre à leur charge ces directives formulées par les Autorités publiques qui les supervisent.
Le lanceur d'alerte est donc celui qui va dans une entreprise, soit rétive, soit incapable, extraire ou transmettre une information, soit à la bonne source, soit au bon destinataire, soit lui appliquer le bon traitement. Il est donc essentiel au traitement de l'information pour que le But Monumental soit rempli.
Le lancement d'alerte au sein de Facebook est particulièrement illustratif de cela. Puisque c'est au sein de l'opérateur crucial obligé par le Droit de lutter contre la désinformation et les discours de haine que l'information apparait donc comme quoi l'entreprise ne l'a pas forcément comme premier souci. La discussion semble s'engager pour savoir si, d'une part, cela est normal ou pas et si, d'autre part, la lanceuse d'alerte est animée ou non de "bons sentiments".
Mais revenons sur le texte européen et sa transposition, par rapport à l'esprit de ce qu'est le Droit de la Compliance, notamment conçu aux États-Unis en Droit financier. La loi dite "Sapin 2" avait posé que le lanceur d'alerte doit être "désintéressé" et agir de bonne foi. Il avait été suggéré que cette exigence de désintéressement soit supprimée et la seule exigence de bonne foi, par ailleurs présumée, maintenue. Mais la conception moralisatrice du lanceur d'alerte continue de prévaloir : il y a donc deux catégories, le lanceur d'alerte qui agit par amour du Droit, du Juste et du Bon (et qu'on aime) et le chasseur de prime qui agit par amour de l'argent ou par haine de celui qu'il dénonce (et que l'on n'aime pas). Voilà donc notre pluriel explicité...
La Securities and Exchange Commission - SEC , autorité fédérale américaine des marchés financiers n'aime pas particulièrement ceux que l'on n'aime pas, les méchants haineux rapaces, mais elle lutte contre l'asymétrie d'information et c'est pour lutter contre les abus de marché dont la source même est à l'intérieur des entreprises, ce qui causa la crise de 1929 puis la Seconde Guerre Mondiale qu'elle fut elle-même instituée : chaque année, un de ses départements, qui a pour titre ..., fait le classement des récompenses attribuées aux whistleblowers , en mettant en premier celui qui a gagné le plus en lui apportant l'information d'un abus de marché, ce qui prévient une crise systémique financière. Car pour le Régulateur financier, il ne fait pas de doute que le lanceur d'alerte est un agent de la légalité qui doit servir à prévenir les crises systémiques, et doit être incité à la saisir, et à la saisir directement.
Le Législateur français reste au milieu du gué. Pour l'instant, il change la formulation mais pas trop. Il faudrait simplement que le lanceur d'alerte ne reçoive pas de "contrepartie financière directe". Ainsi l'amour de la Loi ou du prochain ("désintéressement") ne serait plus requis. S'il n'y a plus d'argent, la haine pour l'entreprise, le ressentiment, cette triste passion si bien dénoncée par Rousseau serait donc autorisée. C'est vrai, c'est souvent cela qui anime la personne qui lance l'alerte. Tandis que le filtre consistant à l'obliger à saisir l'entreprise même que par un "acte citoyen" (expression utilisée par la proposition de loi) est conservé, la proposition de loi organique accroissant un peu l'aide apportée par le Défenseur des droits.
Donc, le pas n'a pas été franchi. Parce qu'on continue à ne pas admettre ce qu'est le prix de l'information. Ce sont donc de toutes petites améliorations que le prochain état du Droit va apporter.
Après avoir ainsi examiné la réforme qui n'a pas eu lieu et qui aurait tiré conséquence de l'articulation du statut du lanceur d'alerte avec le Droit de la Compliance, en tant que celui-ci est un Droit de l'information pertinente pour atteindre des Buts Monumentaux (I), il est donc possible d'examiner la petite réforme qui va avoir lieu sans se soucier de l'information pertinente et en améliorer un peu deci delà les lanceurs d'alerte, dont la définition est un peu élargie, dans les relais externes dont ils bénéficient sans que cela ne brise leur obligation d'en parler d'abord à l'intérieur ce qui ôte la dimension directement systémique à leur action, dans l'aide financière dont ils ont soudainement le bénéfice quand à la fin des fins l'entreprise agit contre eux "en représailles" (II).
Il ne me semble pas que pour l'instant, dans un système juridique national qui sera peu changé, le lanceur d'alerte soit un personnage ni très efficace ni très choyé par le Droit français.
____
V. par exemple Frison-Roche, M.-A., 🏛️ Evaluation de la loi dite "Sapin 2" au regard d'une Europe de la Compliance, Audition par la mission d'évaluation de la loi dite Sapin 2", février 2021.
Ayant abouti à un rapport parlementaire du 7 juillet 2021.
Sur cette observation, Frison-Roche, M.-A., 📝L'impossibilité unicité de la catégorie des lanceurs d'alerte, 2020.
5 octobre 2021
Compliance : sur le vif
30 mars 2021
Base Documentaire : Doctrine
Référence complète: Luguri, J. et Strahilevitz, L. J., Shining a Light on Dark Patterns, Journal of Legal Analysis, Vol. 13, Issue 1, 2021, 67p.
Les étudiants de Sciences Po ont accès à l'article via le Drive de Sciences Po dans le dossier MAFR - Regulation & Compliance.
25 août 2020
Newsletter MAFR - Law, Compliance, Regulation
Référence complète: Frison-Roche, M.-A., Le "droit à l'oubli" toujours en expansion: un oxymore légitime dans le Droit de la Compliance construit sur l'information. L'exemple de la protection des survivants du cancer (The always in expansion "Right to be Forgotten": a legitimate Oxymore in Compliance Law built on Information. Example of Cancer Survivors Protection), Newsletter MAFR - Law, Compliance, Regulation, 25 août 2020
Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation
Résumé de la news
Le "droit à l'oubli" est une invention de la Cour de Justice de l'Union européenne lors de l'affaire Google Spain en 2014. Il implique que les entreprises numériques bloque l'accès aux données personnelles d'un individu lorsque celui-ci le demande. Ce "droit à l'oubli", qui permet d'imposer le secret au tiers a largement été généralisé par le RGPD adopté en 2016. Ce nouveau droit subjectif fondamental est un droit à la fois très politique et très européen. Les Etats-Unis qui, contrairement à l'Europe, n'ont pas fait l'expérience du nazisme, lie le "droit à l'oubli" à la protection du consommateur, conception qui conduit notamment le California Consumer Privacy Act adopté en 2018 à lier ce droit à une situation d'absence de nécessité de ces données pour l'entreprise qui les a obtenues.
En Europe, cette volonté de protéger directement le personnage accroît au contraire la portée d'un tel droit subjectif. Ainsi, en France et au Luxembourg, depuis 2020, une personne ayant été malade d'un cancer peut donc demander à ce qu'une telle information ne soit pas accessibles parmi les données de santé, notamment pas aux compagnies d'assurance qui les manient dans leur calcul des risques pour fixer le montant des primes. Les Pays-Bas feront de même en 2021 pour lutter contre la discrimination entre les clients des banques et des assureurs.
Le "but monumental" n'est ainsi plus tant ici la protection des libertés individuelles que la protection de la personne vulnérable, qui est par ailleurs la clef de voûte d'un Droit de la Compliance équilibrant tantôt interdiction de faire circuler l'information (comme ici) et tantôt obligation de faire circuler l'information (dans d'autre cas, où l'alerte doit être donnée) suivant que les personnes vulnérables sont protégées soit par l'un soit par l'autre.
28 mai 2020
Publications
Référence complète: Frison-Roche, M.-A., L'impossible unicité juridique de la catégorie des "lanceurs d'alertes", in Chacornac, J. (dir.), Lanceurs d'alertes, regards comparatistes, Publications du Centre français de droit comparé, mai 2020, Volume 21, p.13-31.
Lire la présentation générale de l'ouvrage dans lequel l'article a été publié.
Lire le document de travail bilingue ayant servi de base au présent article.
Consulter la présentation de la conférence, "Les lanceurs d'alertes : glose", notamment les slides, lors du colloque organisé par la Centre français du droit comparé le 23 novembre 2018 sous la direction de Jérôme Chacornac
____
Introduction de l'article
"Les lanceurs d'alerte". Voilà bien une expression nouvelle. Qui remporte un plein succès. A peine entendue une fois, on l'entend partout...
Un thème non pas de cours ou de contrôle de connaissances, mais plutôt un sujet de conversation quotidienne. Car c'est chaque jour qu'on nous en parle, en termes plus ou moins gracieux. Par exemple le Président Donald Trump le 1ier octobre 2019 a déclaré à la presse "vouloir interroger" le lanceur d'alerte qui l'aurait illégitimement dénoncé et n'aurait pas, selon lui, le droit de dissimuler son identité, preuve en cela selon lui du caractère mensonger de ses affirmations à son encontre, tandis que l'avocat de celui-ci indique le 6 octobre 2019 qu'il ne parle pas au nom d'un seul lanceur d'alerte ainsi pris à partie mais d'une pluralité de personnes ayant donné des informations à l'encontre du Président des Etats-Unis. Même les scénaristes les plus imaginatifs n'auraient pas écrit des rebondissements aussi brutaux ni aussi rapides. Spectateurs, on attend le prochain épisode, espérant secrètement l'escalade.
Et justement si l'on va au cinéma, c'est encore d'un lanceur d'alerte dont on nous raconte le dévouement et le succès, voire le drame, au bénéfice de la société globale, et notamment de la démocratie, puisque les secrets sont combattus au bénéfice de la vérité. Ainsi, The Secret Man désigne Mark Felt comme le premier lanceur d'alerte. Revenant vers ce que l'on présente souvent comme étant un média plus "sérieux"!footnote-1391, l'on écoute France-Culture et voilà encore conté le récit d'une historienne ayant travaillé comme archiviste sur des événements que le pouvoir politique aurait voulu tenir cachés en détruisant éventuellement leurs traces mais que son métier conduisit à conserver : la voilà expressément présentée aux auditeurs studieux comme un "lanceur d'alerte" .... Tandis que la même radio tente de retrouver celui qui pourrait bien être, comme dans une sorte de concours le "premier des lanceurs d'alerte" !footnote-1727?.... Cette réécriture de l’Histoire peut se défendre car finalement que firent d'autre Voltaire pour Calas, ou Zola pour Dreyfus ?
C'est aussi un sujet de discussion législative puisqu'aux Etats-Unis la loi Dodd-Frank de 2010 a inséré dans la loi de 1934 qui instaura la Securities & Exchanges Commission un dispositif complet de rétribution et de rémunération des lanceurs d'alerte, tandis qu'après avoir élaboré en 2012 des lignes souples mais directrices à ce propos!footnote-1698, la Commission européenne a le 20 novembre 2018 publié le texte de ce qui deviendra une Directive ayant pour objet de donner un statut européen unifié au personnage, dans le dispositif progressivement élaboré pour protéger celui qui a été présenté en 2018 comme celui "ne peut pas être puni pour avoir fait ce qui est juste".
En Europe, la Directive tout d'abord approuvée par une Résolution du Parlement européen le 16 avril 2019 sur la protection des personnes dénonçant des infractions au Droit de l'Union puis adoptée le 7 octobre 2019 (Directive du Parlement européen et du Conseil de l'Union européenne sur la protection des personnes qui signalent des violations du droit de l’Union, intitulé différent on le notera, devra être transposée dans les deux prochaines années dans les législations des Etats-Membres. L'objet n'en est pas général, puisque seules les "violations du Droit de l'Union" sont visées mais le personnage du "lanceur d'alerte" quant à lui est plus globalement visé : il est "entier"!footnote-1699.
Bref, le lanceur d'alerte est une vedette!footnote-1390. Une sorte de personnage historique, couvert de coups et de gloire, allant de Voltaire à Snowden, l'un comme l'autre trouvant à s'incarner sur les écrans!footnote-1681 ....,
Consacré par la loi, qui lui associe un régime juridique de protection à tel point que, tel une tunique de Nessus, c'est ce régime juridique qui va définir le personnage et non l'inverse. Lorsqu'on lit la loi du 9 décembre 2016 relative à la transparence à la lutte contre la corruption et à la modernisation de la vie économique, dite "Sapin 2", l'on remarque que le Législateur fait grand cas de ce personnage, puisqu'il lui consacre son chapitre II !footnote-1682 : "De la protection des lanceurs d'alerte", et que c'est par sa protection même qu'il lui ouvre formellement et à grands battants la porte du Droit.
Mais pourquoi un pluriel ? Certes quand on lit les considérants de la Directive communautaire du 7 octobre 2019 sur la protection des lanceurs d'alerte!footnote-1702, il ne s'agit que d'une énumération de tous les sujets à propos desquels il est une bonne idée de les protéger, ce qui incite donc à ne voir dans ce pluriel que l'indice de cette liste non limitative des sujets dont il est de bon aloi qu'on nous alerte, signe de l'absence de définition de qui doit nous alerte. La lecture de la loi française dite "Sapin 2" rend moins sévère mais plus perplexe. En effet, de cette pluralité visée par le titre du chapitre consacré aux "lanceurs d'alerte", il n'est plus question dans la suite de la loi, dans la définition même qui suit, l'article 6 qui ouvre ce chapitre consacré aux "lanceurs d'alerte" offrant au lecteur immédiatement un singulier puisqu'il débute ainsi : "Un!footnote-1684 lanceur d'alerte est une personne ...". Nulle mention de diversité. L'art de l'écriture législatif aurait pourtant même requis que l'article qualificatif ne soit pas seulement singulier mais qu'il ne soit pas encore indéfini. Stendhal s'il avait encore daigné avoir la Loi pour livre de chevet aurait voulu trouver comme début de chapitre une phrase comme : "Le!footnote-1683 lanceur d'alerte est une personne ...".
Ainsi semblent se contredire au sein de la loi "Sapin 2 le titre même qui présente le personnage, en ce qu'il utilise un pluriel défini (les) tandis que l'article de définition qui le présente est au singulier indéfini (un)....
Voilà une première raison pour ne plus avancer que d'une façon très prudente, dans ce "pas à pas" que constitue une lecture au mot à mot : une glose. Celle-ci consiste à prendre au pied de la lettre l'expression-même. La seconde raison de ce choix technique est que la glose convient bien à une introduction d'ouvrage collectif, permettant ainsi à des développements plus ciblés de prendre place dans d'autres contributions, sur les techniques, les difficultés et les limites de cette protection, ou sur l'historique de celle-ci, ou les raisons de la venue dans le Droit français de ces lanceurs d'alerte et la façon dont ils se développent, ou non, ailleurs.
Je vais donc me contenter de reprendre à la lettre cette expression déjà juridique : Les (I) lanceurs (II) d'alerte (III).
4 décembre 2019
MAFR TV : MAFR TV - cas
Regarder le film de 5 minutes sur le contenu, le sens et la portée de l'arrêt rendu par la première chambre civile de la Cour de cassation du 27 novembre 2019, M.X.A. c/ Google.
Cet arrêt casse l'arrêt de la Cour d'appel de Paris qui valide le non-déférencement, après que la CNIL a demandé l'interprétation des textes, notamment du RGPD, parce que le droit à l'oubli doit limiter l'exception ici invoquée, à savoir le droit à l'information, même s'il s'agit d'une décision pénale concernant un commissaire-aux-comptes, car il s'agit d'une affaire privée et non pas ce qui concerne l'exercice de sa profession réglementée coeur du système financier.
26 octobre 2019
Base Documentaire : Doctrine
Référence complète : Dulong de Rosnay, M., La mise à disposition des œuvres et des informations sur les réseaux: Régulation juridique et régulation technique, sous la direction de Danièle Bourcier, Université Panthéon-Assas Paris II, 26 octobre 2017, 610 p.
Mise à jour : 8 octobre 2019 (Rédaction initiale : 22 novembre 2018 )
Publications
Ce document de travail a servi de base à une conférence faite pour le Centre de droit comparé, le 23 novembre 2018.
Actualisé, il sert de base à l'article de présentation générale de l'ouvrage Les lanceurs d'alerte : regards comparatifs , paru en mai 2020 sous la direction de Jérôme Chacornac, dans la collection du Centre de Législation comparée.
________
"Les lanceurs d'alerte". Voilà bien une expression nouvelle. Qui remporte un plein succès. A peine entendue une fois, on l'entend partout...
Un thème non pas de cours ou de contrôle de connaissances, mais plutôt un sujet de conversation quotidienne. Car c'est chaque jour qu'on nous en parle, en termes plus ou moins gracieux. Par exemple le Président Donald Trump le 1ier octobre 2019 a déclaré à la presse "vouloir interroger" le lanceur d'alerte qui l'aurait illégitimement dénoncé et n'aurait pas, selon lui, le droit de dissimuler son identité, preuve en cela selon lui du caractère mensonger de ses affirmations à son encontre, tandis que l'avocat de celui-ci indique le 6 octobre 2019 qu'il ne parle pas au nom d'un seul lanceur d'alerte ainsi pris à partie mais d'une pluralité de personnes ayant donné des informations à l'encontre du Président des Etats-Unis. Même les scénaristes les plus imaginatifs n'auraient pas écrit des rebondissements aussi brutaux ni aussi rapides. Spectateurs, on attend le prochain épisode, espérant secrètement l'escalade.
Et justement si l'on va au cinéma, c'est encore d'un lanceur d'alerte dont on nous raconte le dévouement et le succès, voire le drame, au bénéfice de la société globale, et notamment de la démocratie, puisque les secrets sont combattus au bénéfice de la vérité. Ainsi, The Secret Man désigne Mark Felt comme le premier lanceur d'alerte. Revenant vers ce que l'on présente souvent comme étant un média plus "sérieux"
C'est aussi un sujet de discussion législative puisqu'aux Etats-Unis la loi Dodd-Frank de 2010 a inséré dans la loi de 1934 qui instaura la Securities & Exchanges Commission un dispositif complet de rétribution et de rémunération des lanceurs d'alerte, tandis qu'après avoir élaboré en 2012 des lignes souples mais directrices à ce propos
En Europe, la Directive tout d'abord approuvée par une Résolution du Parlement européen le 16 avril 2019 sur la protection des personnes dénonçant des infractions au Droit de l'Union puis adoptée le 7 octobre 2019 (Directive 2019/78 (UE) du Parlement européen et du Conseil de l'Union européenne sur la protection des personnes qui signalent des violations du droit de l’Union, intitulé différent on le notera, devra être transposée dans les deux prochaines années dans les législations des Etats-Membres. L'objet n'en est pas général, puisque seules les "violations du Droit de l'Union" sont visées mais le personnage du "lanceur d'alerte" quant à lui est plus globalement visé : il est "entier"
Bref, le lanceur d'alerte est une vedette
Consacré par la loi, qui lui associe un régime juridique de protection à tel point que, tel une tunique de Nessus, c'est ce régime juridique qui va définir le personnage et non l'inverse. Lorsqu'on lit la loi du 9 décembre 2016 relative à la transparence à la lutte contre la corruption et à la modernisation de la vie économique, dite "Sapin 2", l'on remarque que le Législateur fait grand cas de ce personnage, puisqu'il lui consacre son chapitre II : "De la protection des
Mais pourquoi un pluriel ? Certes quand on lit les considérants de la Directive communautaire du 7 octobre 2019 sur la protection des lanceurs d'alerte
Ainsi semblent se contredire au sein de la loi "Sapin 2 le titre même qui présente le personnage, en ce qu'il utilise un pluriel défini (les) tandis que l'article de définition qui le présente est au singulier indéfini (un)....
Voilà une première raison pour ne plus avancer que d'une façon très prudente, dans ce "pas à pas" que constitue une lecture au mot à mot : une glose. Celle-ci consiste à prendre au pied de la lettre l'expression-même. La seconde raison de ce choix technique est que la glose convient bien à une introduction d'ouvrage collectif, permettant ainsi à des développements plus ciblés de prendre place dans d'autres contributions, sur les techniques, les difficultés et les limites de cette protection, ou sur l'historique de celle-ci, ou les raisons de la venue dans le Droit français de ces lanceurs d'alerte et la façon dont ils se développent, ou non, ailleurs.
Je vais donc me contenter de reprendre à la lettre cette expression déjà juridique : Les (I) lanceurs (II) d'alerte (III).
Voir ci-dessous les développements.
Sur le fait plus général que le cinéma est sans doute le média qui restitue le plus sérieusement l'état du Droit, v. Frison-Roche, M.-A., Au coeur du Droit, du cinéma et de la famille : la vie, 2016.
L'histoire du premier lanceur d'alerte, France Culture, septembre 2019.
Commission Européenne, Guidelines on Whistleblowing, 6 décembre 2012, SEC(2012) 679 final, mis à jour le 23 avril 2018.
Or, précisément l'usage si courant de la pluralité ("les lanceurs d'alerte") fait douter de l'unicité du personnage. Sur cette question, v. toute la première partie des développements de la présente étude, qui conduit à conclure plutôt qu'au-delà de la multitude des cas particuliers, il existe plutôt deux sortes de lanceurs d'alertes. V. infra I.
La réalisatrice du film La fille de Brest raconte qu'elle considère la lanceuse d'alerte à l'origine du cas du Médiator comme un "personnage de cinéma".
Ainsi, les péripéties de Snowden ont été portées à l'écran par Oliver Stone en 2016, Snowden. Sur la question de savoir si ce film "restitue" fidèlement ou non le cas, Schetizer, P., Le film Snowden est-il à la hauteur de la réalité ?, 2017. Cet article est favorable au lanceur d'alerte, et au film qui nous raconte avec émotion son cas, notamment parce que (sic), c'est plus aisé que de lire le Washington Post.
Souligné par nous.
Sur cette directive, v. les développements infra.
Souligné par nous.
Souligné par nous.
2 octobre 2019
Base Documentaire : Soft Law
Référence complète : Woerth, É., et Dirx B., Rapport d'information par la commission des finances de l'économie générale et du contrôle budgétaire en conclusion des travaux d'une mission d'information relative à l'activisme actionnarial, Assemblée Nationale, octobre 2019, 111p.
26 juin 2019
Blog
La Chambre commerciale de la Cour de cassation a rendu un arrêt le 17 avril 2019, à propos de la société Créatis.
Le cas est le suivant : par des emprunts divers, un couple se retrouve endetté à hauteur de 66.000 euros. Ne pouvant sans doute faire face à ce que cela représente comme charge mensuelle cumulée, ils recourent à une société qui propose un "prêt de restructuration". Lorsque celui-ci a été conçu, la situation professionnelle familiale, professionnelle et financière du couple lui laisse en disponibilités mensuelles environ 1.800 euros par mois. Un prêt de restructuration consiste à regrouper la totalité des crédits et à allonger dans le temps des remboursements, puisque le remboursement doit s'opérer désormais sur 144 mensualités, c'est-à-dire 12 ans.... Certes, la charge mensuelle tombe ainsi d'environ 2.000 euros pour le couple à environ 780 euros. Ce qui devait arriver arriva : le couple ne fît pas face aux échéances et fût poursuivi.
Pour sa défense, les débiteurs font valeur que leur situation était caractéristique d'un "endettement excessif", puis qu’avec une mensualité de 780 euros et 3 enfants à charge, ils ne pouvaient pas rembourser et que le prêteur devait les mettre en garde sur l'inadéquation entre le prêt de restructuration proposé et leur situation, puisque la mensualité excédait le tiers de leur disponibilité et qu'ils étaient non-avertis. Or, cette mise en garde n'avait pas été faite.
Les juges de première instance donnent raison à l'établissement de crédit qui a agi en exécution forcée mais le jugement est infirmé par la Cour d'appel de Grenoble,qui par un arrêt du 19 septembre 2017, considère à l'inverse qu'il y a eu manquement à l'obligation de conseil, déboute l'établissement de crédit de sa demande en exécution du contrat.
La Cour de cassation casse l'arrêt des juges du fond.
La solution est la suivante : La Chambre commerciale relève qu'un "crédit de restructuration, qui permet la reprise du passif et son rééchelonnement à des conditions moins onéreuses, sans aggraver la situation économique de l'emprunteur, ne crée pas de risque d'endettement nouveau". En conséquence de quoi, la Cour d'appel ne pouvait pas statuer ainsi.
Les enseignements que l'on peut en tirer :
_____
15 avril 2019
Publications : Chroniques MAFR Droit de la Compliance
► Référence complète : Frison-Roche, M.-A., Compliance et personnalité, in Recueil Dalloz, n°11/7812, avril 2019, pp. 604-606
_____
► Résumé de la chronique : La compliance est souvent présentée comme un ensemble de procédures vides et mécaniques, dans lesquelles les êtres humains sont absents. C'est l'inverse. Droit de l'information, dans sa fonction de prévention des risques systémiques et de protection des marchés, le droit de la compliance pose l'exigence de connaître « véritablement » la personne qui est « pertinente », généralisant ce que les droits des sociétés ou de la concurrence avaient admis par endroits. Plus encore, au-delà des systèmes, le droit de la compliance, en tant qu'il est un droit de protection, vise à protéger les êtres humains, concernés de près ou de loin, les instituant comme personnes juridiques, véritables sujets de droit finals de cette nouvelle branche du droit.
____
____
____
📖 Lire les autres chroniques parues chez Dalloz dans la rubrique Chronique MAFR Droit de la Compliance
________
27 novembre 2018
Publications
► Référence complète : Frison-Roche, M.-A., Droit de la concurrence et droit de la compliance, novembre 2018, in Revue Concurrences n° 4-2018, Art. n° 88053, pp. 1-4.
__________
► Résumé : Le droit de la compliance est une branche du droit nouvelle, encore en construction. L’on peut en avoir une “définition restreinte”, consistant à la concevoir comme l’obligation qu’ont les entreprises de donner à voir qu’elles se conforment en permanence et d’une façon active au Droit. L’on peut en avoir une définition plus riche, de nature substantielle, la définissant comme l’obligation ou la volonté propre qu’ont certaines entreprises de concrétiser des “buts monumentaux” dépassant la seule performance économique et financière. Le droit de la concurrence intègre en partie ses deux conceptions de la compliance. Précurseur, le droit de la concurrence concrétise avec dynamisme la première conception du droit de la compliance. C’est avec davantage de difficultés mais aussi beaucoup plus d’avenir que le droit de la concurrence peut exprimer en dialectique la seconde conception du droit de la compliance comme internationalisation de “buts monumentaux”, notamment dans l’espace numérique.
____
________
3 juillet 2018
Base Documentaire : Doctrine
Référence complète : Caprioli, É.A., La blockchain dans la banque et la finance (éléments de réflexion juridique), in Études en l'honneur de Philippe Neau-Leduc, Le juriste dans la cité, coll. « Les mélanges », LGDJ- Lextenso, 2018, pp.189-206.
Lire une présentation générale dans lequel l'article est publié.
2 février 2018
Blog
Dans la presse généraliste, à la télévision ou dans les réseaux sociaux, il est beaucoup question de Droit. Principalement sous deux formes : les procès que l'on commente, ou les prérogatives juridiques (les "droits") que l'on revendique.
Dans les commentaires que font les journalistes dans les médias professionnels ou les internautes sur les réseaux sociaux, dont la nature de "médias" n'est plus contestée, les opinions sont souvent beaucoup plus violentes que ne le sont les commentaires dans les revues juridiques. Ceux-ci, rédigés par des juristes, prennent les formes convenues du "commentaire", forme qui adoucit l'expression. En outre, la politique et l'opinion personnelle sont censées en être absentes, l'opinion est présentée comme "scientifique", ce qui diminue à tout le moins la violence du ton. Il est souvent dit qu'il n'y a pas d'empoignade, il n'y aurait que de la disputatio...N'ouvrons pas la question de la "doctrine juridique", question qui passionne avant tout les auteurs de doctrine juridique.
Dans les commentaires faits par des non-juristes, il est pourtant fait souvent référence au Droit. Il est normal que l'objet sur lequel porte le commentaire imprègne celui-ci.
Seront à ce titre souvent évoquées la condition de "l'absence de consentement" dans la qualification du viol ou la "préméditation" dans la qualification d’assassinat. Mais sont aussi repris des règles qui s'attachent au système juridique général, comme le principe d'impartialité du juge - souvent pour affirmer qu'ils ne le sont pas, ou le principe de son indépendance - souvent pour affirmer qu'ils doivent l'être davantage.
Un principe qui revient souvent est un principe de base : Nul n'est censé ignorer la loi. Il est évoqué et mal compris, ce qui est normal car c'est un principe technique. Mais depuis quelque temps, sous la plume de personnes maîtrisant bien l'orthographe et mal le Droit, je le lis orthographié ainsi : Nul n'est sensé ignorer la loi.
Pourquoi ? N'est-ce pas un sens plus profond qu'il convient de donner à la règle ?
(Lire plus bas les développements)