Base Documentaire : 03. Conseil d'Etat

Publications : Doctrine

 Référence complète : Roda, J.-Ch, Vers un droit de la concurrence des plateformes , in L'émergence d'un droit des plateformes, Dalloz, coll. « Thèmes et commentaires », 2021, pp.77-90.

_____

 

► Lire la présentation générale de l'ouvrage dans lequel s'insère cet article. 

Publications : Doctrine

 Référence complète : Houtcieff, D., Les plateformes au défi des plateformes, in L'émergence d'un droit des plateformes, Dalloz, coll. « Thèmes et commentaires », 2021, pp.51-64.

_____

 

► Lire la présentation générale de l'ouvrage dans lequel s'insère cet article. 

Publications : Doctrine

 Référence complète : Amrani-Mekki, S., Les plateformes de résolution en ligne des différends, in L'émergence d'un droit des plateformes, Dalloz, coll. « Thèmes et commentaires », 2021, pp.189-203.

_____

 

► Lire la présentation générale de l'ouvrage dans lequel s'insère cet article. 

23 juin 2022

Base Documentaire : Doctrine

 Référence complète : Augagneur, L.-M., Le traitement réputationnel par et sur les plateformes, in Frison-Roche, M.-A. (dir.), La juridictionnalisation de la Compliancesérie "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, à paraître. 

____

 Le résumé ci-dessous décrit un article qui fait suite à une intervention dans le colloque L'entreprise instituée Juge et Procureur d'elle-même par le Droit de la Compliance, coorganisé par le Journal of Regulation & Compliance (JoRC) et la Faculté de Droit Lyon 3. Ce colloque a été conçu par Marie-Anne Frison-Roche et Jean-Christophe Roda, codirecteurs scientifiques, et s'est déroulé à Lyon le 23 juin 2021.

Dans l'ouvrage, l'article sera publié dans le Titre I, consacré à  L'entreprise instituée Juge et Procureur d'elle-même par le Droit de la Compliance.

___

 Résumé de l'article (fait par l'auteur) : Les grandes plateformes se trouvent placées en arbitre de l’économie de la réputation (référencement, notoriété) dans laquelle elles agissent elles-mêmes. Malgré, le plus souvent, de faibles enjeux unitaires, la juridictionnalité de la réputation représente des enjeux agrégés importants. Les plateformes sont ainsi conduites à détecter et apprécier les manipulations de réputation (par les utilisateurs : SEO, faux avis, faux followers ; ou par les plateformes elles-mêmes comme l’a mis en lumière la décision Google Shopping rendue par la Commission Européenne en 2017) qui sont mises en œuvre à grande échelle avec des outils algorithmiques.

L’identification et le traitement des manipulations n’est elle-même possible qu’au moyen d’outils d’intelligence artificielle. Google procède ainsi à un mécanisme de déclassement automatisé des sites ne suivant pas ses lignes directrices, avec une possibilité de faire une demande de réexamen par une procédure très sommaire entièrement menée par un algorithme. De son côté, Tripadvisor utilise un algorithme de détection des faux avis à partir d’une « modélisation de la fraude pour relever des constantes électroniques indétectables par l’œil humain ». Elle ne procède à une enquête humaine que dans des cas limités.

Cette juridictionnalité de la réputation présente peu de caractères communs avec celle définie par la jurisprudence de la Cour de Justice (origine légale, procédure contradictoire, indépendance, application des règles de droit). Elle se caractérise, d’une part, par l’absence de transparence des règles et même d’existence des règles énoncées sous forme prédicative et appliquées par raisonnement déductif. S’y substitue un modèle inductif probabiliste par l’identification de comportements anormaux par rapport à des centroïdes. Cette approche pose bien sûr la problématique des biais statistiques. Plus fondamentalement, elle traduit une transition de la Rule of Law, non pas tant vers Code is Law (Laurence Lessig), mais à Data is Law, c’est-à-dire à une gouvernance des nombres (plutôt qe “par” les nombres). Elle revient en outre à une forme de juridictionnalité collective puisque la sanction provient d’une appréhension computationnelle des phénomènes de la multitude et non d’une appréciation individuelle. Enfin, elle apparaît particulièrement consubstantielle à la compliance puisqu’elle repose sur une démarche téléologique (la recherche d’une finalité plutôt que l’application de principes).

D’autre part, cette juridictionnalité se caractérise par la coopération homme-machine, que ce soit dans la prise de décision (ce qui pose le problème du biais d’automaticité) et dans la procédure contradictoire (ce qui pose notamment les problèmes de la discussion avec machine et de l’explicabilité de la réponse machine).

Jusqu’ici, l’encadrement de ces processus repose essentiellement sur les mécanismes de transparence, d’une exigence contradictoire limitée et de l’accessibilité de voies de recours. La Loi pour une République Numérique, le Règlement Platform-to-Business et la Directive Omnibus) ont ainsi posé des exigences sur les critères de classement sur les plateformes. La directive Omnibus exige par ailleurs que les professionnels garantissent que  les avis émanent de consommateurs par des mesures raisonnables et proportionnées. Quant au projet de Digital Services Act, il prévoit d’instaurer une transparence sur les règles, procédures et algorithmes de modération de contenus. Mais cette transparence est souvent en trompe-l’œil. De la même façon, les exigences d’une intervention humaine suffisante et du contradictoire apparaissent très limités dans le projet de texte.

Les formes les plus efficientes de cette juridictionnalité ressortent en définitive du rôle joué par les tiers dans une forme de résolution de litiges participative. Ainsi, par exemple, FakeSpot détecte les faux avis Tripadvisor, Sistrix établit un indice de ranking qui a permis d’établir les manipulations de l’algorithme de Google dans l’affaire Google Shopping en détectant les artefacts en fonction des modifications de l’algorithme. D’ailleurs, le projet de Digital Services Act envisage de reconnaître un statut spécifique aux signaleurs de confiance (trusted flaggers) qui identifient des contenus illégaux sur les plateformes.

Cette configuration juridictionnelle singulière (plateforme juge et partie, situations massives, systèmes algorithmiques de traitement des manipulations) amène ainsi à reconsidérer la grammaire du processus juridictionnel et de ses caractères. Si le droit est un langage (Alain Sériaux), elle en offre une nouvelle forme grammaticale qui serait celle de la voie moyenne (mésotès) décrite par Benevéniste. Entre la voie active et la voie passive, se trouve une voie dans laquelle le sujet effectue une action où il s’inclut lui-même. Or c’est bien le propre de cette juridictionnalité de la compliance que de poser des lois en s’y incluant soi-même (nomos tithestai). A cet égard, l’irruption de l’intelligence artificielle dans ce traitement juridictionnel témoigne incontestablement du renouvellement du langage du droit.

____

📝 Consulter une présentation générale du volume dans lequel l'article est publié.

 

5 octobre 2021

Compliance : sur le vif

8 septembre 2021

Base Documentaire : Doctrine

► Référence complète : Delpech, X. (dir.), L'émergence d'un droit des plateformes, coll. "Thèmes et Commentaires", Dalloz, 2021, 239 p.

____

 

► Présentation de l'ouvrage en 4ième de couverture : De Uber à Parcoursup en passant par Amazon, le phénomène des plateformes est au cœur de notre vie quotidienne. S’il reflète des réalités diverses, il semble néanmoins possible, d’une plateforme à l’autre, d’observer quelques constantes : toutes sont des dispositifs de mise en relation faisant appel aux nouvelles technologies (internet, un algorithme, etc.).

Les plateformes suscitent cependant de multiples interrogations – et même inquiétudes, compte tenu de la puissance de certaines d’entre elles – auxquels tentent de répondre économistes et bien entendu juristes. Elles constituent ainsi un champ de recherche qui reste encore largement à explorer. Il faudra en particulier s’interroger sur le point de savoir si notre arsenal juridique, y compris européen, est suffisamment armé pour les appréhender, voire même les domestiquer, ou s’il doit être réinventé. Plus profondément, il est légitime de se demander si les plateformes ne sont pas en train de faire émerger une nouvelle branche du droit.

C'est à ces questions que tente de répondre cet ouvrage issu des actes du colloque du 21 octobre 2020 organisé par l'équipe de recherche Louis Josserand de l'Université de Jean Moulin Lyon 3. 

 

____

 

► Lire la présentation des articles :

📝Roda, J.-Ch, Vers un droit de la concurrence des plateformes

📝Houtcieff, D., Les plateformes au défi des qualifications

📝Amrani-Mekki, S., Les plateformes de résolution en ligne des différents

📝Douville, Th., Quel droit pour les plateformes ? 

____

 

 

31 août 2021

Compliance : sur le vif

Par un article publié le 13 juillet 2021, "Targeted ads isolate and divide us even when they’re not political – new research"  des chercheurs ayant mené une étude à propos d'intelligence artificielle et d'éthique , rendent compte des résultats obtenus. Il ressort de cette étude empirique montre que les technologies, mises au point à des fins politiques pour capter les votes afin de faire élire Trump ou pour obtenir un vote positif pour le Brexit, utilisées à des fins commerciales, auraient deux effets sur nous : en premier lieu elles nous isolent ; en second lieu elles nous opposent.

____


Le seul lien social qui a donc vocation à avoir serait donc l'agression.  


Certes l'usage ainsi fait de nos informations personnelles, auquel nous "consentons" tous, que cela soit pour obtenir notre adhésion à des discours ou à des produits, casse ce qu'Aristote appelait "l'amitiés" comme socle de la Cité Politique.
L'on mesure que la notion de "consentement", qui est une notion juridique, relativement périphérique dans le Droit des Obligations, que beaucoup voudraient mettre comme l'alpha et l'omega, ne nous protège en rien de cette destruction de nous-même et des autres, de cette perspective de la Cité.
Il est important de penser la régulation de la technologie, sur laquelle est construit l'espace digital sur une autre notion que le "consentement".
C'est pourquoi le Droit de la Compliance, qui n'est pas construit sur le "consentement", est la branche du Droit de l'avenir.
#droit #numérique #amitié #consentement #haine #politique

30 août 2021

Compliance : sur le vif

   Un article du 3 mars 2021, Smile for the camera: the dark side of China's emotion-recognition tech, puis un article du 16 juin 2021, "Every smile you fake" - an AI emotion - recognition system can assess how "happy" China's workers are in the office décrit la façon dont une nouvelle technologie de reconnaissance émotionnelle est apte, à travers ce qui sera bientôt démodé d'appeler la "reconnaissance faciale", de distinguer un sourire qui traduit un état de satisfaction effective d'un sourire qui n'y correspond pas. Cela permet à l'employeur de mesurer l'adéquation de l'être humain à son travail.  Il est promis qu'il en sera fait usage d'une façon éthique, pour améliorer le bien-être au travail. Mais n'est-ce pas en soi que cette technologie est incompatible avec toute compensation par un accompagnement éthique ? 

____

La technologie élaborée par une entreprise technologique chinoise et acquise par d'autres entreprises chinoises ayant beaucoup d'employés, permet d'avoir de l'information sur l'état d'esprit effectif de la personne à travers et au-delà de ses mimiques faciales et de son comportement corporel.

La technologie de reconnaissance émotionnelle avait été mise au point pour assurer la sécurité, en luttant contre des personnes au projet hostile, les Autorités publiques l'utilisant par exemple dans les contrôles dans les aéroports pour détecter les desseins criminels que pourraient avoir certains passagers.

Il est affirmé ainsi que non pas qu'il s'agit de lutter contre quelques personnes malfaisantes ("dangerosité") pour protéger le groupe avant que l'acte ne soit commis ("défense sociale) mais qu'il s'agit d'aider l'ensemble des travailleurs. 

En effet non seulement l'usage qui en sera fait sera éthique, car en premier lieu les personnes qui travaillent pour ces entreprises chinoises à l'activité mondiale, comme Huawaï, le font librement et ont accepté le fonctionnement de ces outils d'intelligence artificielle (ce qui n'est pas le cas des personnes qui voyagent (le contrôle étant alors un sorte de mal nécessaire qu'ils n'ont pas à accepter, qui leur est imposé pour la sauvegarde du groupe), mais encore et surtout que la finalité est elle-même éthique : s'il s'avère que la personne ne se sent pas bien au travail, qu'elle n'y est pas heureuse, avant même qu'elle ait peut-être conscience, l'entreprise pourra lui venir en aide.

____

 

Prenons ce cas pratique du côté du Droit et imaginons que cela soit contesté devant un juge appliquant les principes du Droit occidental.

Est-ce que cela serait admissible ?

Non, et pour trois raisons.

1. Un "usage éthique" ne peut pas justifier un procédé en soi non-éthique

2. Les premières libertés sont négatives

3. Le "consentement" ne doit pas le seul principe régissant l'espace technologique et numérique

____

 

I. UN "USAGE ETHIQUE" NE PEUT JAMAIS LEGITIMER UN PROCEDE EN SOI NON-ETHIQUE

es procédés en eux-mêmes non-éthiques ne peuvent pas être rendus "admissibles" par un "usage éthique" qui en sera fait.

Ce principe a été rappelé notamment par Sylviane Agacinski en matière bioéthique : si l'on ne peut pas disposer de la personne d'autrui à travers une disposition de son corps qui rend sa personne même disponible (v. not. Agacinski, S., ➡️📗 Le tiers-corps. Réflexions sur le don d'organes, 2018). 

Sauf à rendre la personne réduite à la chose qu'est son corps, ce qui n'est pas éthiquement admissible en soi, cela est exclu, et le Droit est là pour que cela ne soit pas possible. 

C'est même pour cela que la notion juridique de "personne", qui n'est pas une notion qui va de soi, qui est une notion construite par la pensée occidentale, fait rempart pour que les êtres humains ne puissent pas être entièrement disponibles aux autres, par exemple par la mise sur le marché de leur corps (v. Frison-Roche, M.-A., ➡️📝Pour protéger les êtres humains, l'impératif éthique de la notion juridique de personne, 2018). C'est pourquoi par exemple, comme le souligne Sylviane Agacinski il n'y a pas d'esclavage éthique (un esclave qu'on ne peut pas battre, qu'il faut bien nourrir, etc.).

Que l'être humain y consente ("et s'il me plait à moi d'être battue ?") n'y change rien.

 

II. LA PREMIERE LIBERTE EST CELLE DE DIRE NON, PAR EXEMPLE EN REFUSANT DE REVELER SES EMOTIONS : PAR EXEMPLE CACHER SI L'ON EST HEUREUX OU PAS DE TRAVAILLER

La première liberté n'est pas positive (être libre de dire Oui) ; elle est négative (être libre de dire Non). Par exemple la liberté du mariage, c'est avant d'avoir la liberté de se marier, avoir la liberté de ne se marier : si l'on ne dispose pas de la liberté de ne pas se marier, alors la liberté de se marier pert toute valeur. De la même façon, la liberté de contracter suppose la liberté de ne pas contracter, etc.

Ainsi la liberté dans l'entreprise peut prendre la forme de la liberté d'expression, qui permet aux personnes, selon des procédures fixées par le Droit, d'exprimer leur émotions, par exemple leur colère ou leur désapprobation, à travers la grève.

Mais cette liberté d'expression, qui est une liberté positive, n'a de valeur qu'à condition que le travailleur est la liberté fondamentale de ne pas exprimer ses émotions. Par exemple s'il n'est pas heureux de son travail, car il n'apprécie pas ce qu'il fait, ou qu'il n'aime pas l'endroit où il ne fait, ou il n'aime pas les personnes avec lesquels il travaille, son liberté d'expression exige qu'il ait le droit de ne pas l'exprimer. 

Si l'employeur dispose d'un outil qui lui permet d'obtenir l'information quant à ce que le travailleur aime ou n'aime pas, alors celui-ci perd cette liberté première.

Dans l'ordre juridique occidental, l'on doit pouvoir considérer que c'est au niveau constitutionnel que l'atteinte est réalisée à travers le Droit des personnes (sur l'intimité entre le Droit des personnes et le Droit constitutionnel, v. Marais, A.,➡️📕  Le Droit des personnes2021).  

 

III. LE CONSENTEMENT NE DOIT PAS ETRE LE SEUL PRINCIPE REGISSANT L'ESPACE TECHNOLOGIQUE ET NUMERIQUE 


L'on pourrait considérer que le cas de l'entreprise est différent du cas des contrôles opérés par l'Etat pour la surveillance des aéroports, car dans le premier cas les personnes observées ont consenti.

Le "consentement" est aujourd'hui la notion centrale, souvent présentée comme  l'avenir de ce que chacun souhaite : la "régulation" de la technologie, notamment lorsqu'elle prend la forme des algorithmes ("intelligence artificielle"), notamment dans l'espace numérique. 

Le "consentement" permettrait un "usage éthique" et pourrait mettre fonder l'ensemble (sur ces problématiques, v. Frison-Roche, M.-A., ➡️📝Se tenir bien dans l'espace numérique, 2019).

Le "consentement" est une notion sur laquelle le Droit prend aujourd'hui des distances en Droit des personnes, notamment quant au "consentement" donné par les adolescents sur la disponibilité de leur corps, mais pas encore sur le numérique. 

Sans doute parce qu'en Droit des obligations, le "consentement" est quasiment synonyme de "libre volonté", alors qu'il faut les distinguer (v. Frison-Roche, M.-A., ➡️📝La distinction entre la volonté et le consentement, 1995). 

Mais l'on voit à travers ce cas, qui précisément déroule en Chine, le "consentement" est en Droit comme ailleurs un signe de soumission. Ce n'est que d'une façon probatoire qu'il peut constituer une preuve d'une libre volonté ; cette preuve ne doit se transformer en présomption irréfragable.

Les Autorités de Régulation des données (par exemple en France la CNIL) cherchent à reconstituer ce lien probatoire entre "consentement" et "liberté de dire Non" pour que la technologie ne permette pas par des "consentements mécaniques", coupés de tout rapport avec le principe de liberté qui protège les êtres humains, de déposséder ceux-ci (v. Frison-Roche, M.-A., Oui au principe de la volonté, manifestation de la liberté, Non aux consentements mécaniques , 2018). 

 

Plus la notion de consentement ne sera plus que périphérique et plus les êtres humains pourront être actifs et protégés.

________


 s'inscrire à la Newsletter MaFR ComplianceTech®

23 juin 2021

Publications : Doctrine

 Référence complète : Douville, T., Quel droit pour les plateformes ?, in Delpech, X. (dir.), L'émergence d'un droit des plateformescoll. « Thèmes et commentaires », Dalloz, 2021, pp.217-239.

_____

 

► Lire la présentation générale de l'ouvrage dans lequel est publié cet article. 

18 juin 2021

Compliance : sur le vif

Le Droit est lent, mais ferme. Par son arrêt du 15 juin 2021, Facebook , la Cour de Justice de l'Union européenne interprète largement le pouvoir des Autorités nationales, puisqu'il sert la protection des personnes dans l'espace numérique (➡️📝CJUE, 15 juin 2021, Facebook)

 

Le reproche de lenteur est si souvent adressé au Droit et à la Justice.  Mais l'essentiel est que, dans le brouhaha de réglementations changeante, il établisse des principes clairs et ferme, permettant à chacun de savoir à quoi se tenir. Plus le monde est changeant et plus le Droit est donc requis.

Quand le Droit dégénèrent en réglementations, c'est alors au Juge de faire le Droit. Les "Cours suprêmes" apparaissent, de jure comme aux Etats-Unis, de fait comme dans l'Union européenne par la Cour de justice de l'Union européenne qui pose les principes, soit avant tout le monde, comme elle le fît pour le "droit à l'oubli" en 2014 (➡️📝CJUE, Google Spain, 13 mai 2014), puis l'impossibilité de transférer vers des pays-tiers des données sans l'accord des personnes concernées (➡️📝CJUE, Schrems, 6 octobre 2015).

Le contentieux Facebook est une sorte de roman. L'entreprise sait que c'est aux juridictions qu'elle parle avant tout. En Europe, elle le fait derrière les murailles de l'espace juridique irlandais, dont elle voudrait pouvoir ne pas sortir avant de mieux dominer l'espace numérique mondial, tandis que les autorités de régulation nationales veulent la saisir pour protéger les citoyens.

Se pose donc une question technique de "compétence juridictionnelle". Les textes y ont pourvu, mais le Droit est malhabile car conçu pour un monde encore ancré dans le sol : le RGPD de 2016 organise donc des coopérations entre Autorités nationales de régulation par un "guichet unique", obligeant les Autorités à se dessaisir pour que le cas ne soit traité que par l'Autorité nationale "chef de file". Cela évite l'éclatement et la contradiction. Mais avant l'adoption du RGPD, le Régulateur belge de protection des données avait ouvert une procédure contre Facebook à propos des cookies. Le mécanisme du "guichet unique", intervenu en 2016, n'est donc évoqué que devant la Cour d'appel de Bruxelles, à laquelle il est demandé de se dessaisir au profit de l'Autorité de Régulation irlandaise, puisque l'entreprise a en Europe son siège social dans ce pays. La Cour d'appel saisit la CJUE en question préjudicielle.

Par son arrêt du 15 juin 2021 (➡️📝CJUE, Facebook, 15 juin 2021), celle-ci suit les conclusions de son Avocat général  maintient la compétence du Régulateur national car, même après le RGPD, le cas supporte encore son traitement national. Retenons la raison. La Cour relève que la règle du "guichet unique" n'est pas absolue et que l'autorité national de régulation peut maintenir sa compétence, notamment si la coopération entre autorités nationale est difficile.

Plus encore, ne faudra pas un jour ajuster plus radicalement le Droit au fait que l'espace numérique n'est pas tenu par des frontières et que l'ambition de "coopération transfrontalière" est mal adaptée ? C'est bien sur ce constat d'inefficacité consubstantielle à l'espace numérique qu'a été conçu et mis en place le Parquet européen, qui n'est pas une coopération, ni un guichet unique, mais bien un organe de l'Union agissant localement pour l'Union, en lien direct avec les soucis de Compliance (➡️📝Frison-Roche, M.-A. "Le Parque Européen est un apport considérable au Droit de la Compliance", 2021 et Frison-Roche, M.-A., Entrée en scène du parquet européen: l'entreprise étant devenue elle-même procureur privé, allons-nous vers une alliance de tous les procureurs?, 2021).

C'est donc de cela qu'il faut s'inspirer.

____

► s'inscrire à la Newsletter MaFR ComplianceTech®

17 juin 2021

Compliance : sur le vif

 Droit de la concurrence et concurrence : est-il besoin de légiférer pour construire ? Exemple des quasi-convention d'intérêt public : le Communiqué de l'Autorité de la Concurrence du 3 juin 2021, à propos de Facebook. 

La loi dite "Sapin 2" de 2016, a organisé la "convention judiciaire d'intérêt public -CJIP" qui permet au procureur de s'engager à ne poursuivre contre des engagements de l'entreprise pour le futur. Ce mécanisme est-il réservé à cette loi, qui ne concerne que la corruption et le trafic d'influence ? La réponse est souvent affirmative.

Est-ce si évident ?

Puisque l'organe qui a le pouvoir de poursuivre a donc toujours le pouvoir de ne pas poursuivre. Comme l'entreprise a toujours la liberté de prendre des engagements pour le futur. Et tout s'arrête.

L'actualité en Droit de la Concurrence l'illustre. Le 9 juin 2021, dans le cadre d'une transaction, l'Autorité de la concurrence sanctionne Google , qui n'a pas contesté les faits, pour abus de position dominante pour avoir privilégié ses services dans le secteur de publicité en ligne. Des faits analogues étaient allégués contre Facebook. Mais le 3 juin 2021, l'ADLC a publié un "communiqué" comme quoi Facebook a, au cours de l'instruction, "proposé" des engagements" concernant son comportement futur. Les poursuites s'arrêtent donc. Il est remarquable que ce communiqué sur Facebook soit publié comme "acte de régulation".

Oui, c'est bien un "acte de régulation", portant sur l'avenir et structurant le secteur, internalisé dans l'entreprise qui s'engage dans son comportement futur. Par son communiqué, l'ADLC invite les "acteurs du secteur" à faire des observations, pour l'élaboration de ce qui sera un "programme de compliance".

Dans ces négociations qui s'apparentent à une table de jeu, où chacun calcule s'il entre en négociation ou en affrontement, le premier jeu supposant que l'on montre plus de cartes que le second, c'est bien vers une sorte de CJIP que l'on va face à une Autorité qui est à la fois Juge et Procureur, qui conclut l'accord et, par une décision, lui donne force. Sous les qualifications diverses, c'est bien le même mécanisme général de Droit de la Compliance qui est à l'oeuvre, bien au-delà de la loi dite Sapin 2.

Manié ainsi, le Droit de la Compliance étant un Droit Ex Ante, transforme l'Autorité de la concurrence, qui était une Autorité Ex Post, en Autorité Ex Ante, prenant ouvertement des "actes de régulation", et lui permet de s'appuyer sur la puissance même des entreprises, ainsi "engagées", pour structurer des marchés, qui ne sont pourtant pas régulés. Comme celui de la publicité, ou celui de ladite "grande distribution" (➡️📝 Frison-Roche, M.-A., Du Droit de la Concurrence au Droit de la Compliance : exemple de la décision de l'Autorité de la concurrence à propos de la centrale d'achat entre grands distributeurs, 2020). Ainsi le Droit de la Compliance a réalisé l'autonomie du Droit de la Régulation par rapport à la notion, qui lui paraissait pourtant intime, de "secteur".

 

► s'inscrire à la Newsletter MaFR ComplianceTech®

15 juin 2021

Base Documentaire : 05. CJCE - CJUE

Référence complète: CJUE, Grande chambre, Arrêt Facebook Ireland e.a. contre Gegevensbeschermingsautoriteit, C-645-19, 15 juin 2021

Lire l'arrêt

Lire le résumé de l'arrêt produit par la Cour

Lire le communiqué de presse

11 janvier 2021

Interviews

Référence complète: Frison-Roche, M.-A., "Utilisons la puissance des GAFAMs au service de l'intérêt général!", interview réalisé par Olivia Dufour, Actu-juridiques Lextenso, 11 janvier 2021

Lire l'interview

 

Présentation de l'interview par Olivia Dufour:

Marie-Anne Frison-Roche, professeur de Droit de la Régulation et de la Compliance,  a remis au Gouvernement en 2019 un rapport sur la gouvernance d’Internet.

Pour cette spécialiste, confier un pouvoir disciplinaire aux GAFAMs est la seule solution efficace. Et la suppression du compte twitter de Donald Trump n’est pas de nature à remettre en cause cette analyse.

 

Les trois questions posées par Olivia Dufour sont :

  • La suppression du compte Twitter de Donald Trump suscite une forte émotion sur les réseaux sociaux, et pas seulement chez ses partisans. Qu’en pensez-vous ?

 

  • Il n’empêche que cet incident suscite l’inquiétude. Ne donne-t-on pas trop de pouvoirs à ces entreprises privées ? Cela repose la question en France de la pertinence du dispositif Avia…

 

  • Il faudrait donc se résoudre par défaut à confier nos libertés à des mastodontes privés et opaques ?

 

Lire les réponses détaillées apportées à ces trois questions

 

Pour aller plus loin, notamment sur la logique qui guide le dispositif Avia, voir:

 

 

31 décembre 2020

Base Documentaire : Doctrine

Référence complète: Zittrain, J. L., "Gaining Power, Losing Control" (Gagner en puissance, perdre en contrôle), Clare Hall Tanner Lecture 2020, 2020

Regarder l'intervention (en anglais)

Lire le compte-rendu de l'intervention (en anglais)

 

Cette intervention est divisée en deux parties:

  • Between Abdication and Suffocation: Three Eras of Governing Digital Platforms (Entre abdication et suffocation: les trois âges de la gouvernance des plateformes numériques)
  • With Great Power Comes Great Ignorance: What’s Wrong When Machine Learning Gets It Right (Avec le pouvoir vient l'ignorance: ce qui ne va pas quand l'apprentissage automatique réussit)

 

7 décembre 2020

Base Documentaire : Doctrine

Référence complète: Vergnolle, S., L'effectivité de la protection des personnes par le droit des données à caractère personnel, Passa, J. (dir.), thèse, Droit, Université Panthéon-Assas (Paris II), 2020, 531 p.

 

Lire la thèse

Consulter directement et uniquement la table des matières

 

 

Pour aller plus loin sur la question de la régulation des données à caractère personnel, consulter: 

23 novembre 2020

Interviews

Référence complète: Frison-Roche, M.-A., Facebook: Quand le Droit de la Compliance démontre sa capacité à protéger les personnes, entretien avec Olivia Dufour, Actu-juridiques Lextenso, 23 novembre 2020

Lire l'interview

Lire la news de la Newsletter MAFR - Law, Compliance, Regulation portant sur cette question

1 novembre 2020

Publications

22 octobre 2020

Interviews

Référence complète: Frison-Roche, M.-A., "Health Data Hub est un coup de maître du Conseil d'Etat", interview réalisée par Olivia Dufour pour Actu-juridiques, Lextenso, 22 octobre 2020

Lire la news du 19 octobre 2020 de la Newsletter MAFR - Law, Compliance, Regulation sur laquelle s'appuie cette interview: Conditions for the legality of a platform managed by an American company hosting European health data​: French Conseil d'Etat decision 

Pour aller plus loin, sur la question du Droit de la Compliance en matière de protection des données de santé, lire la news du 25 août 2020: The always in expansion "Right to be Forgotten"​: a legitimate Oxymore in Compliance Law built on Information. Example of​ Cancer Survivors Protection 

1 octobre 2020

Base Documentaire : Soft Law

Référence complète des lignes directrices: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux "cookies et autres traceurs") et abrogeant la délibération n°2019-093 du 4 juillet 2019 

Référence complète de la recommendation: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs". 

Lire les lignes directrices

Lire la recommendation

Lire la présentation de cette recommendation et de ces lignes directrices par la CNIL

Lire le commentaire à ce propos de Marie-Anne Frison-Roche dans la Newsletter MAFR - Law, Regulation & Compliance du 1er octobre 2020

 

16 septembre 2020

Publications

Référence complète: Frison-Roche, M.-A., Se tenir bien dans l'espace numérique, in "Penser le droit de la pensée". Mélanges en l'honneur de Michel Vivant, Lexis Nexis et Dalloz, 2020, pp. 155-168

Lire l'article de Marie-Anne Frison-Roche

Lire le document de travail sur lequel cet article est basé, enrichi de développements supplémentaires, de références techniques et de liens hypertextes

 

Résumé de l'article: 

L'espace numérique est un des rares espaces non spécifiquement cadrés par le Droit, liberté qui a aussi pour grave conséquence d'offrir l'opportunité à ses acteurs de ne pas "se tenir bien", c'est-à-dire d'exprimer et de diffuser largement et immédiatement des pensées haineuses, lesquels demeuraient auparavant dans des cercles privés ou restreints. L'intimité du Droit et de la notion juridique de Personne en est atteinte: le numérique permet à des individus ou des organisations d'agir comme des personnages démultipliés et anonymes, acteurs numériques dépersonnalisés porteurs de comportements attentatoires à la dignité d'autrui.

Contre cela, le Droit de la Compliance offre une solution adéquate : internaliser dans les opérateurs numériques cruciaux la charge de tenir disciplinairement substantiellement l'espace numérique. L'espace numérique a été structuré par des entreprises puissantes à même d'y maintenir l'ordre. Parce que le Droit ne doit pas réduire l'espace digital à n'être qu'un simple marché neutre de prestations numériques, ces opérateurs cruciaux, comme les réseaux sociaux ou les moteurs de recherches doit être obligés de contrôler  substantiellement les comportements. Il peut s'agir d'une obligation des internautes d'agir à visage découvert, politique de "l'identité réelle" contrôlée par les entreprises, et de respecter les droits d'autrui, droits intimes, dignité, droits de propriété intellectuelle. Dans leur fonction de régulation, les entreprises digitales cruciales doivent être supervisées par des Autorités publiques

Ainsi le Droit de la Compliance substantiellement défini est gardien de la personne  comme "sujet de droit" dans l'espace digital, par le respect que les autres doivent en avoir, cet espace passant du statut d'espace libre à celui d'espace civilisé, dans lequel chacun est contraint de se tenir bien. 

______

 

Consulter pour aller plus loin: 

10 septembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Répondre à un email contenant de "sérieuses anomalies", transférant des données personnelles, bloque le remboursement par la banque : décision de la Cour de Cassation, 1er juillet 2020 (Responding to an email with "serious anomalies"​,transferring personal data, blocks reimbursement by the bank: French Cour de cassation, July 1st 2020), Newsletter MAFR - Law, Compliance, Regulation, 10 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

Résumé de la news

Le "phishing" est une forme de cybercriminalité visant à obtenir, par des courriels frauduleux ressemblant à ceux pouvant provenir d'organismes légitimes, des informations personnelles du destinataire afin d'usurper son identité et/ou de le voler. Comme il est difficile d'en trouver les auteurs et encore plus de prouver leur intentionnalité afin de les punir directement, un des moyens de lutter contre le phishing peut être de confier la charge aux banques de sécuriser leur réseau d'information et, afin d'assortir cette obligation d'une forte incitation, de les condamner à rembourser les victimes en cas de vol de leurs données personnelles. 

En 2015, un client victime de ce type d'escroquerie a demandé à sa banque, le Crédit Mutuel, de lui rembourser la somme dérobée, ce que la banque refuse de faire au motif que le client avait commis une faute en transférant ses informations confidentielles sans vérifier l'e-mail pourtant grossièrement contrefait. Le tribunal de première instance donne raison au client parce que bien qu'ayant commis cette faute, il était de bonne foi. Ce jugement est annulé par la Chambre commerciale de la Cour de cassation par un arrêt du 1ier juillet 2020, qui pose que cette négligence grave, exclusive de toute considération de bonne foi, justifie l'absence de remboursement par la banque.

___

 

De ce cas particulier, on peut tirer trois leçons

1. La Cour de Cassation pose que la bonne foi n'est pas un critère pertinent et que, de la même façon que la banque doit réagir lorsqu'un compte bancaire est objectivement anormal, le client doit réagir face à un email manifestement anormal. 

 

2. La Cour de Cassation décrit la répartition des charges de preuve. Les obligations probatoires sont alternativement réparties entre la banque et son client. En premier lieu, la banque doit sécuriser son réseau d'information mais en second lieu le client  doit prendre toute mesure raisonnable pour en préserver la sécurité. Il en résulte que, si l'email reçu par le client semble normal, les dommages du phishing sont à la charge de la banque, et plus généralement de l'entreprise, tandis que s'il est manifestement anormal, ils sont à la charge du client, mais la charge de prouver l'anomalie du courriel incombe à l'entreprise et non au client. 

3. Un tel système probatoire montre que Droit de la Compliance inclut une mission pédagogique en éduquant chaque client afin qu'il soit à même de distinguer au sein de ses emails, ceux qui relèvent d'un caractère normal et ceux qui sont "manifestement suspects". Cette dimension pédagogique, avec les conséquences juridiques qui lui sont attachées, ne va cesser de s'accroitre.

______

2 septembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Pour réguler ou superviser, des compétences techniques sont requises: exemple de la création du "Pôle d'expertise de la régulation numérique" (For regulating or supervising, technical competence is required: example of the French creation of the "Pôle d'expertise de la régulation numérique"​), Newsletter MAFR - Law, Regulation, Compliance, 2 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Regulation, Compliance

 

Résumé de la news

Par un décret du 31 août 2020, le gouvernement a créé un service à compétence nationale dénommé "Pôle d'expertise de la régulation numérique (PEReN)". Celui-ci a pour but de fournir aux services de l'Etat une expertise technique dans les domaines de l'informatique, de la science des données et des processus algorithmiques afin de les assister dans leur rôle de contrôle, d'enquêtes ou d'étude. L'objectif est de favoriser le partage d'information entre représentants de la recherche et les services de l'Etat en charge de réguler le numérique. 

Comme son acronyme l'indique, ce pôle d'expertise a vocation à manifester de la constance dans un monde en perpétuel changement. Par ailleurs, en plus d'être à compétence nationale, cet organisme s'inscrit dans une dimension transversale, son décret de création ayant été signé à la fois par le Premier ministre, le ministre de l'Economie, le ministre de la Culture et le ministre de la Transition Numérique. La création d'un tel pôle témoigne de la prise de conscience du gouvernement de l'importance de la compétence technique dans la régulation du numérique et de la nécessité de centraliser ces expertises en un seul et même organe. 

Toutefois, comme l'indique le décret, ce pôle d'expertise ne pourra être consulté que par les "services de l'Etat", ce qui exclut les régulateurs qui sont des autorités administratives indépendantes de l'Etat et qui pourraient mettre le pôle d'expertise en conflit d'intérêt s'ils venaient à le saisir et les tribunaux alors même que ceux-ci sont appelés à jouer un rôle central dans la régulation du numérique et qu'ils sont habilités à requérir l'avis du régulateur sur certains dossiers. Mais, si les régulateurs ne peuvent saisir le PEReN, à qui bénéficie-t-il mis à part au législateur et à quelques fonctionnaires?

Il aurait donc mieux fallut que ce pôle d'expertise soit placé sous la direction des organes de régulation et de supervision, ce qui lui aurait permis de pouvoir être consulté à la fois par les régulateurs et par les juges, tous deux acteurs de premier plan de la régulation du numérique. 

31 août 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Compliance by design, une arme nouvelle? L'opinion de Facebook à propos des nouvelles dispositions techniques d'Apple pour protéger les données personnelles (Compliance by Design, a new weapon? Opinion of Facebook about Apple new technical dispositions on Personal Data protection), Newsletter MAFR - Law, Compliance, Regulation, 31 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

Résumé de la news:

Les données personnelles, en tant qu'elles sont des informations, sont un outil de Compliance. Elle représentent une ressource précieuse pour les entreprises qui doivent mettre en oeuvre un plan de vigilance afin de prévenir la corruption, le blanchiment d'argent ou le financement du terrorisme, par exemples. C'est la raison pour laquelle, les données personnelles sont la pierre angulaire des dispositifs de "Compliance by design". Cependant, l'utilisation de ces données ne peut pas dédouaner l'entreprise de son obligation simultanée de protéger ces mêmes données personnelles, ce qui est également un "but monumental" majeur du Droit de la Compliance. 

Afin de pouvoir exploiter ses données dans un objectif de Compliance tout en les protégeant, l'entreprise numérique Apple a par exemple adopté de nouvelles dispositions telles que l'exploitation de l'IDentifier For Advisers (IDFA) intégré à l'iPad ou à l'iPhone et largement utilisé par les entreprises de publicité ciblée soit conditionnée au consentement du consommateur.  

Facebook a vivement réagi à cette nouvelle disposition d'Apple en expliquant que de telles mesures allaient profondément restreindre l'accès des données aux démarcheurs publicitaires qui verraient ainsi leurs activités limitées. Facebook soupçonne Apple de vouloir bloquer l'accès aux autres entreprises publicitaires dans le but de développer son propre outil publicitaire. Facebook a assuré aux démarcheurs qui travaillaient avec lui qu'ils ne prendraient pas, pour sa part, de telles mesures et qu'il privilégiait toujours la consultation du secteur publicitaire avant ses prises de décisions afin de concilier au mieux les intérêts parfois divergents en présence. 

On peut dors-et-déjà formuler quelques remarques:

  • Le RGPD imposant aux entreprises numériques qu'elles garantissent un niveau de protection minimum des données personnelles ne s'applique pas aux Etats-Unis. Il est donc plus plausible qu'Apple ait agit par Responsabilité Sociale des Entreprises (RSE), plus que par obligation légale.
  • Le mode de régulation utilisé ici est la "régulation conversationnelle" théorisée par Julia Black. Effectivement, les régulateurs laissent les forces en présence "converser".
  • Cette "régulation conversationnelle" ne semble pas très efficace ici et une intervention des autorités administratives ou des juges pourrait se justifier par le biais du Droit de la Concurrence, de la Régulation ou de la Compliance, sachant que le Droit de la Concurrence privilégiera le droit d'accès à l'information et le Droit de la Régulation ou de la Compliance davantage le droit à la vie privée.

Tout le paradoxe du Droit de la Compliance réside donc dans l'équilibre entre circulation de l'information et secret.

27 août 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., "Interrégulation" entre les systèmes de paiements et la protection des données personnelles: comment organiser cette interaction? ("Interregulation"​ between Payments System and Personal Data Protection: how to organize this "interplay"​?), Newsletter MAFR - Law, Compliance, Regulation, 27 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

Résumé de la news

Le Droit de la Régulation, afin de reconnaître et de tirer les conséquences de la spécificité de certains objets, a au départ été construit autour de la notion de secteur technique bien que la délimitation de ceux-ci relève en partie d'un choix politique. Mais, dans les faits, il existe de multiples points de contact entre ces secteurs, les acteurs se déplaçant de l'un à l'autre tout comme certains objets. La solution régulatoire est donc d'enjamber certaines frontières techniques par la méthodologie de l'interrégulation qui est par ailleurs la seule à permettre la régulation de certains phénomènes dépassant la notion de secteur et relevant donc du Droit de la Compliance.

Cette news prend l'exemple des entreprises fournissant de nouveaux services de paiement. Afin qu'elles puissent délivrer ces services en question, ces entreprises ont besoin d'accéder aux comptes bancaires des personnes concernées et donc à des données personnelles à caractère très sensibles. La régulation d'une telle configuration nécessite donc une coopération entre le régulateur bancaire et le régulateur des données personnelles. La législation n'étant pas suffisante pour organiser en Ex Ante cette interrégulation, l'European Data Protection Board (EDPB et régulateur européen des données personnelles) a publié des lignes directrices le 17 juillet 2020 sur la manière dont elle concevait l'articulation entre le PSD2 (directive européenne sur les services de paiement) et le RGPD (Règlement Général pour la Protection des Données) et annonçait qu'elle comptait élargir le cercle de ces interlocuteurs pour opérer cette interrégulation. Une telle initiative de la part de l'EDPB se justifie par l'incertitude quant à la manière d'interpréter ces deux textes et de les articuler l'un avec l'autre.