Référence complète: Frison-Roche, M.-A., "Utilisons la puissance des GAFAMs au service de l'intérêt général!", interview réalisé par Olivia Dufour, Actu-juridiques Lextenso, 11 janvier 2021

Lire l'interview

Pour aller plus loin, notamment sur la logique qui guide le dispositif Avia, voir:

• Frison-Roche, M.-A., "Haine sur internet: il faut responsabiliser les opérateurs numériques", 2020 

• Frison-Roche, M.-A., L'apport du Droit de la Compliance à la Gouvernance d'Internet, rapport remis au Gouvernement, 2019

Référence complète: Zittrain, J. L., "Gaining Power, Losing Control" (Gagner en puissance, perdre en contrôle), Clare Hall Tanner Lecture 2020, 2020

Regarder l'intervention (en anglais)

Lire le compte-rendu de l'intervention (en anglais)

Cette intervention est divisée en deux parties:

• Between Abdication and Suffocation: Three Eras of Governing Digital Platforms (Entre abdication et suffocation: les trois âges de la gouvernance des plateformes numériques)
• With Great Power Comes Great Ignorance: What’s Wrong When Machine Learning Gets It Right (Avec le pouvoir vient l'ignorance: ce qui ne va pas quand l'apprentissage automatique réussit)

► Référence complète : L. Godefroy, "Le numérique", in J.-B. Racine (dir.), Le droit économique au XXIe siècle. Notions et enjeux, LGDJ, coll. "Droit & Économie", 2020, pp. 513-526

____

📕consulter une présentation générale de l'ouvrage, Le droit économique au XXIe siècle. Notions et enjeux, dans lequel cet article est publié 

____

► Résumé de l'article : 

____

🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche

________

Référence complète: Vergnolle, S., L'effectivité de la protection des personnes par le droit des données à caractère personnel, Passa, J. (dir.), thèse, Droit, Université Panthéon-Assas (Paris II), 2020, 531 p.

Lire la thèse

Consulter directement et uniquement la table des matières

Pour aller plus loin sur la question de la régulation des données à caractère personnel, consulter: 

• Frison-Roche, M.-A., Repenser le monde à partir de la notion de donnée, 2016
• Frison-Roche, M.-A., Les conséquences régulatoires d'un monde repensé à partir de la notion de donnée, 2016. 

Référence complète: Frison-Roche, M.-A., Facebook: Quand le Droit de la Compliance démontre sa capacité à protéger les personnes, entretien avec Olivia Dufour, Actu-juridiques Lextenso, 23 novembre 2020

Lire l'interview

Lire la news de la Newsletter MAFR - Law, Compliance, Regulation portant sur cette question

Ce document de travail a servi de base à une interview menée par Olivia Dufour et parue dans Actu-juridiques-Lextenso le 11 janvier 2021.

Référence complète: Frison-Roche, M.-A., "Health Data Hub est un coup de maître du Conseil d'Etat", interview réalisée par Olivia Dufour pour Actu-juridiques, Lextenso, 22 octobre 2020

Lire la news du 19 octobre 2020 de la Newsletter MAFR - Law, Compliance, Regulation sur laquelle s'appuie cette interview: Conditions for the legality of a platform managed by an American company hosting European health data​: French Conseil d'Etat decision 

Pour aller plus loin, sur la question du Droit de la Compliance en matière de protection des données de santé, lire la news du 25 août 2020: The always in expansion "Right to be Forgotten"​: a legitimate Oxymore in Compliance Law built on Information. Example of​ Cancer Survivors Protection 

Référence complète des lignes directrices: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux "cookies et autres traceurs") et abrogeant la délibération n°2019-093 du 4 juillet 2019 

Référence complète de la recommendation: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs". 

Lire les lignes directrices

Lire la recommendation

Lire la présentation de cette recommendation et de ces lignes directrices par la CNIL

🌐suivre Marie-Anne Frison-Roche sur LinkedIn

🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence complète : M.-A. Frison-Roche, "Se tenir bien dans l'espace numérique", in Mélanges en l'honneur de Michel Vivant, Penser le droit de la pensée, Dalloz et Lexis Nexis, 2020, pp. 155-168.

____

📝Lire l'article

____

🚧Lire le document de travail sur lequel cet article est basé, enrichi de développements supplémentaires, de références techniques et de liens hypertextes

► Résumé de l'article : L'espace numérique est un des rares espaces non spécifiquement cadrés par le Droit, liberté qui a aussi pour grave conséquence d'offrir l'opportunité à ses acteurs de ne pas "se tenir bien", c'est-à-dire d'exprimer et de diffuser largement et immédiatement des pensées haineuses, lesquels demeuraient auparavant dans des cercles privés ou restreints. L'intimité du Droit et de la notion juridique de Personne en est atteinte : le numérique permet à des individus ou des organisations d'agir comme des personnages démultipliés et anonymes, acteurs numériques dépersonnalisés porteurs de comportements attentatoires à la dignité d'autrui.

Contre cela, le Droit de la Compliance offre une solution adéquate : internaliser dans les opérateurs numériques cruciaux la charge de tenir disciplinairement substantiellement l'espace numérique. L'espace numérique a été structuré par des entreprises puissantes à même d'y maintenir l'ordre. Parce que le Droit ne doit pas réduire l'espace digital à n'être qu'un simple marché neutre de prestations numériques, ces opérateurs cruciaux, comme les réseaux sociaux ou les moteurs de recherches doit être obligés de contrôler substantiellement les comportements. Il peut s'agir d'une obligation des internautes d'agir à visage découvert, politique de "l'identité réelle" contrôlée par les entreprises, et de respecter les droits d'autrui, droits intimes, dignité, droits de propriété intellectuelle. Dans leur fonction de régulation, les entreprises digitales cruciales doivent être supervisées par des Autorités publiques

Ainsi le Droit de la Compliance substantiellement défini est gardien de la personne comme "sujet de droit" dans l'espace digital, par le respect que les autres doivent en avoir, cet espace passant du statut d'espace libre à celui d'espace civilisé, dans lequel chacun est contraint de se tenir bien. 

______

► Consulter pour aller plus loin : 

• Frison-Roche, M.-A., 📓L'apport du Droit de la Compliance à la gouvernance d'Internet, 2019
• Frison-Roche, M.-A. (dir.), 📕Internet, un espace d'interrégulation, 2016

________

Référence complète: Frison-Roche, M.-A., Répondre à un email contenant de "sérieuses anomalies", transférant des données personnelles, bloque le remboursement par la banque : décision de la Cour de Cassation, 1er juillet 2020 (Responding to an email with "serious anomalies"​,transferring personal data, blocks reimbursement by the bank: French Cour de cassation, July 1st 2020), Newsletter MAFR - Law, Compliance, Regulation, 10 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Le "phishing" est une forme de cybercriminalité visant à obtenir, par des courriels frauduleux ressemblant à ceux pouvant provenir d'organismes légitimes, des informations personnelles du destinataire afin d'usurper son identité et/ou de le voler. Comme il est difficile d'en trouver les auteurs et encore plus de prouver leur intentionnalité afin de les punir directement, un des moyens de lutter contre le phishing peut être de confier la charge aux banques de sécuriser leur réseau d'information et, afin d'assortir cette obligation d'une forte incitation, de les condamner à rembourser les victimes en cas de vol de leurs données personnelles. 

En 2015, un client victime de ce type d'escroquerie a demandé à sa banque, le Crédit Mutuel, de lui rembourser la somme dérobée, ce que la banque refuse de faire au motif que le client avait commis une faute en transférant ses informations confidentielles sans vérifier l'e-mail pourtant grossièrement contrefait. Le tribunal de première instance donne raison au client parce que bien qu'ayant commis cette faute, il était de bonne foi. Ce jugement est annulé par la Chambre commerciale de la Cour de cassation par un arrêt du 1ier juillet 2020, qui pose que cette négligence grave, exclusive de toute considération de bonne foi, justifie l'absence de remboursement par la banque.

___

De ce cas particulier, on peut tirer trois leçons: 

1. La Cour de Cassation pose que la bonne foi n'est pas un critère pertinent et que, de la même façon que la banque doit réagir lorsqu'un compte bancaire est objectivement anormal, le client doit réagir face à un email manifestement anormal. 

2. La Cour de Cassation décrit la répartition des charges de preuve. Les obligations probatoires sont alternativement réparties entre la banque et son client. En premier lieu, la banque doit sécuriser son réseau d'information mais en second lieu le client  doit prendre toute mesure raisonnable pour en préserver la sécurité. Il en résulte que, si l'email reçu par le client semble normal, les dommages du phishing sont à la charge de la banque, et plus généralement de l'entreprise, tandis que s'il est manifestement anormal, ils sont à la charge du client, mais la charge de prouver l'anomalie du courriel incombe à l'entreprise et non au client. 

3. Un tel système probatoire montre que Droit de la Compliance inclut une mission pédagogique en éduquant chaque client afin qu'il soit à même de distinguer au sein de ses emails, ceux qui relèvent d'un caractère normal et ceux qui sont "manifestement suspects". Cette dimension pédagogique, avec les conséquences juridiques qui lui sont attachées, ne va cesser de s'accroitre.

______

Référence complète: Frison-Roche, M.-A., Pour réguler ou superviser, des compétences techniques sont requises: exemple de la création du "Pôle d'expertise de la régulation numérique" (For regulating or supervising, technical competence is required: example of the French creation of the "Pôle d'expertise de la régulation numérique"​), Newsletter MAFR - Law, Regulation, Compliance, 2 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Regulation, Compliance

Résumé de la news

Par un décret du 31 août 2020, le gouvernement a créé un service à compétence nationale dénommé "Pôle d'expertise de la régulation numérique (PEReN)". Celui-ci a pour but de fournir aux services de l'Etat une expertise technique dans les domaines de l'informatique, de la science des données et des processus algorithmiques afin de les assister dans leur rôle de contrôle, d'enquêtes ou d'étude. L'objectif est de favoriser le partage d'information entre représentants de la recherche et les services de l'Etat en charge de réguler le numérique. 

Comme son acronyme l'indique, ce pôle d'expertise a vocation à manifester de la constance dans un monde en perpétuel changement. Par ailleurs, en plus d'être à compétence nationale, cet organisme s'inscrit dans une dimension transversale, son décret de création ayant été signé à la fois par le Premier ministre, le ministre de l'Economie, le ministre de la Culture et le ministre de la Transition Numérique. La création d'un tel pôle témoigne de la prise de conscience du gouvernement de l'importance de la compétence technique dans la régulation du numérique et de la nécessité de centraliser ces expertises en un seul et même organe. 

Toutefois, comme l'indique le décret, ce pôle d'expertise ne pourra être consulté que par les "services de l'Etat", ce qui exclut les régulateurs qui sont des autorités administratives indépendantes de l'Etat et qui pourraient mettre le pôle d'expertise en conflit d'intérêt s'ils venaient à le saisir et les tribunaux alors même que ceux-ci sont appelés à jouer un rôle central dans la régulation du numérique et qu'ils sont habilités à requérir l'avis du régulateur sur certains dossiers. Mais, si les régulateurs ne peuvent saisir le PEReN, à qui bénéficie-t-il mis à part au législateur et à quelques fonctionnaires?

Il aurait donc mieux fallut que ce pôle d'expertise soit placé sous la direction des organes de régulation et de supervision, ce qui lui aurait permis de pouvoir être consulté à la fois par les régulateurs et par les juges, tous deux acteurs de premier plan de la régulation du numérique. 

Référence complète: Frison-Roche, M.-A., Compliance by design, une arme nouvelle? L'opinion de Facebook à propos des nouvelles dispositions techniques d'Apple pour protéger les données personnelles (Compliance by Design, a new weapon? Opinion of Facebook about Apple new technical dispositions on Personal Data protection), Newsletter MAFR - Law, Compliance, Regulation, 31 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news:

Les données personnelles, en tant qu'elles sont des informations, sont un outil de Compliance. Elle représentent une ressource précieuse pour les entreprises qui doivent mettre en oeuvre un plan de vigilance afin de prévenir la corruption, le blanchiment d'argent ou le financement du terrorisme, par exemples. C'est la raison pour laquelle, les données personnelles sont la pierre angulaire des dispositifs de "Compliance by design". Cependant, l'utilisation de ces données ne peut pas dédouaner l'entreprise de son obligation simultanée de protéger ces mêmes données personnelles, ce qui est également un "but monumental" majeur du Droit de la Compliance. 

Afin de pouvoir exploiter ses données dans un objectif de Compliance tout en les protégeant, l'entreprise numérique Apple a par exemple adopté de nouvelles dispositions telles que l'exploitation de l'IDentifier For Advisers (IDFA) intégré à l'iPad ou à l'iPhone et largement utilisé par les entreprises de publicité ciblée soit conditionnée au consentement du consommateur.  

Facebook a vivement réagi à cette nouvelle disposition d'Apple en expliquant que de telles mesures allaient profondément restreindre l'accès des données aux démarcheurs publicitaires qui verraient ainsi leurs activités limitées. Facebook soupçonne Apple de vouloir bloquer l'accès aux autres entreprises publicitaires dans le but de développer son propre outil publicitaire. Facebook a assuré aux démarcheurs qui travaillaient avec lui qu'ils ne prendraient pas, pour sa part, de telles mesures et qu'il privilégiait toujours la consultation du secteur publicitaire avant ses prises de décisions afin de concilier au mieux les intérêts parfois divergents en présence. 

On peut dors-et-déjà formuler quelques remarques:

• Le RGPD imposant aux entreprises numériques qu'elles garantissent un niveau de protection minimum des données personnelles ne s'applique pas aux Etats-Unis. Il est donc plus plausible qu'Apple ait agit par Responsabilité Sociale des Entreprises (RSE), plus que par obligation légale.
• Le mode de régulation utilisé ici est la "régulation conversationnelle" théorisée par Julia Black. Effectivement, les régulateurs laissent les forces en présence "converser".
• Cette "régulation conversationnelle" ne semble pas très efficace ici et une intervention des autorités administratives ou des juges pourrait se justifier par le biais du Droit de la Concurrence, de la Régulation ou de la Compliance, sachant que le Droit de la Concurrence privilégiera le droit d'accès à l'information et le Droit de la Régulation ou de la Compliance davantage le droit à la vie privée.

Tout le paradoxe du Droit de la Compliance réside donc dans l'équilibre entre circulation de l'information et secret.

Référence complète: Frison-Roche, M.-A., "Interrégulation" entre les systèmes de paiements et la protection des données personnelles: comment organiser cette interaction? ("Interregulation"​ between Payments System and Personal Data Protection: how to organize this "interplay"​?), Newsletter MAFR - Law, Compliance, Regulation, 27 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Le Droit de la Régulation, afin de reconnaître et de tirer les conséquences de la spécificité de certains objets, a au départ été construit autour de la notion de secteur technique bien que la délimitation de ceux-ci relève en partie d'un choix politique. Mais, dans les faits, il existe de multiples points de contact entre ces secteurs, les acteurs se déplaçant de l'un à l'autre tout comme certains objets. La solution régulatoire est donc d'enjamber certaines frontières techniques par la méthodologie de l'interrégulation qui est par ailleurs la seule à permettre la régulation de certains phénomènes dépassant la notion de secteur et relevant donc du Droit de la Compliance.

Cette news prend l'exemple des entreprises fournissant de nouveaux services de paiement. Afin qu'elles puissent délivrer ces services en question, ces entreprises ont besoin d'accéder aux comptes bancaires des personnes concernées et donc à des données personnelles à caractère très sensibles. La régulation d'une telle configuration nécessite donc une coopération entre le régulateur bancaire et le régulateur des données personnelles. La législation n'étant pas suffisante pour organiser en Ex Ante cette interrégulation, l'European Data Protection Board (EDPB et régulateur européen des données personnelles) a publié des lignes directrices le 17 juillet 2020 sur la manière dont elle concevait l'articulation entre le PSD2 (directive européenne sur les services de paiement) et le RGPD (Règlement Général pour la Protection des Données) et annonçait qu'elle comptait élargir le cercle de ces interlocuteurs pour opérer cette interrégulation. Une telle initiative de la part de l'EDPB se justifie par l'incertitude quant à la manière d'interpréter ces deux textes et de les articuler l'un avec l'autre. 

Référence complète: Frison-Roche, M.-A., Est-ce que la régulation des discours de haine et des fausses informations est une obligation légale imposée aux entreprises du numérique ou est-ce l'expression de leur volonté libre de contribuer à la démocratie? (Is Regulating Hate and Infox a legal obligation imposed to the Digital Enterprises or the expression of their free will to contribute to Democracy?), Newsletter MAFR - Law, Compliance, Regulation, 14 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Internet permet d'accéder à des connaissances élargies mais rend également plus facile la diffusion de fausses informations et de discours de haine. Malheureusement, les pouvoirs publics ne peuvent pas savoir qui diffusent ces fausses informations et ces discours de haine et ne sont donc pas en mesure de lutter efficacement contre cela. Une solution serait d'obtenir des entreprises numériques qu'elles trouvent le moyen d'endiguer ces fausses informations et ces discours de haine qu'elles contribuent structurellement à propager. 

Les entreprises numériques s'appliquent déjà à cela et notamment Facebook qui prévoit de sensibiliser ses utilisateurs américains en vue des élections présidentielles de 2020. Cependant, les entreprises numériques expliquent que si elles luttent contre les fausses informations et les discours de haine, c'est uniquement par responsabilité sociale des entreprises (RSE). Or, même s'il s'agit d'un calcul pour obtenir une bonne réputation et éviter les actions de boycott, cela reste une volonté de l'entreprise qui n'est donc ni contrainte de réussir, ni même d'agir. 

La solution proposée par le Droit de la Compliance est de faire de cet effort une obligation légale en internalisant dans les opérateurs cruciaux que sont les entreprises numériques le "but monumental" de lutter contre les fausses informations et les discours de haine afin que les entreprises numériques soient tenues d'agir et qu'elles soient supervisées par des autorités publiques dans cette tâche. La loi à venir sur les services numériques imposera aux entreprises numériques des obligations Ex Ante tandis que la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l'information impose déjà aux opérateurs de plateformes une obligation légale de "coopérer" dans la lutte contre les fausses informations. 

​Pour aller plus loin, lire: 

• Frison-Roche, M.-A., Lorsque Facebook "invite" chaque internaute à agir contre le COVID-19 en le dirigeant vers le Centre Public d'Information, est-ce par obligation légale (Compliance) ou par RSE? Avec quelles conséquences?, document de travail, 2020
• Frison-Roche, M.-A., Se tenir bien dans l'espace numérique, document de travail, 2020

Reference complète : Conseil Supérieur de l'Audiovisuel (CSA), Bilan Infox, 2019.

Lire le rapport. 

Ce rapport sera bientôt aussi disponible en anglais. 

► Référence complète : D. Chelly, Stratégie web. Le rôle central des noms de domaine, Gecop, 2020, 253 p.

____

📗lire la 4ième de couverture

____

📗lire la table des matières de l'ouvrage

____

► Résumé de l'ouvrage (fait par l'éditeur) : "Simple outil technique avant 2000, le nom de domaine est devenu un élément-clé de la stratégie internet.

Les entreprises sont à la recherche de référentiels pour les questions juridiques, paramétrages informatiques, optimisation pour le référencement et choix marketing.

L'ouvrage propose un état des bonnes pratiques pour l'utilisation des noms de domaine, dans une démarche multidisciplinaire.". 

________

Référence complète: Faure-Muntian, V. et Fasquelle, D, Commission des Affaires économiques de l'Assemblée Nationale,  Rapport d'information sur les plateformes numériques, juin 2020, 104 p.

Lire le rapport

Référence complète : Quéméner, M., Dalle, F. and Wierre, Cl., Quels droits face aux innovations numériques ? Législations, jurisprudences et bonnes pratiques du cyberespecac. Défis et protections face aux dérives du numérique, préface d'Agathe Lepage, Gualino-Lextenso, 223 pages, 2020.

Lire la quatrième de couverture.

Lire la table des matières.

Lire la préface. 

Sans sollicitation, sur son fil d'actualité, celui qui évolue sur le réseau social construit par Facebook a trouvé le 23 mars 2020 au matin ce message : 

Référence complète : Frison-Roche, M.-A., Haine sur Internet : il faut responsabiliser les opérateurs numériques, entretien avec Olivia Dufour, Actu-juridique Lextenso, 15 janvier 2020. 

Les questions posées étaient : 

• Pour lutter efficacement contre la haine sur Internet, la proposition Avia demande aux plateformes d'intervenir sous le contrôle du CSA. Ce système, inspiré de l'économie, est-il transposable dans un domaine aussi sensible que la liberté d'expression ?

​

• Comprenez-vous la crainte du Syndicat de la magistrature que les plateformes ne se transforment en organe de censure ? N'est-ce pas un défaut de conception du texte ?

• Pensez-vous que l'on puisse se passer de la protection du juge judiciaire en matière de liberté d'expression ? Précisément dans cette loi, estimez-vous qu'il a sa juste place ou que celle-ci devrait être renforcée ?

Lire les trois réponses données dans l'interview.

______

Frison-Roche, M.-A., Le droit de la compliance pour réguler l'internet, Entretien avec Sylvie Rozenfeld, Expertises, décembre 2019, p.385-390.

Résumé. Le droit semble de plus en plus impuissant à endiguer le désordre social généré par l’Internet. Pour Marie-Anne Frison-Roche, professeur de droit et spécialiste du droit de la régulation, la solution se trouve pourtant dans le droit, et plus particulièrement dans le droit de la compliance. Ce droit est déjà appliqué dans le secteur de la banque et de la finance, ou encore en matière de données personnelles. Comme elle l’a fait pour la finance verte et à travers le le RGPD, l’Europe pourrait imposer un système de compliance qui internalise dans les grands opérateurs numériques le souci de la personne. A eux de mettre en place les moyens et d’en assumer le coût, à l’exemple du droit à l’oubli édifié par la CJUE. Marie-Anne Frison-Roche ne propose rien de révolutionnaire, elle se contente de reprendre des éléments du droit positif qui existent déjà et de les corréler.  

Lire l'interview.

Lire la présentation du Rapport à propos duquel cet interview est donné : L'apport du Droit de la Compliance à la Gouvernance d'Internet. 

Regarder le film de 5 minutes sur le contenu, le sens et la portée de l'arrêt rendu par la première chambre civile de la Cour de cassation du 27 novembre 2019, M.X.A. c/ Google.

Cet arrêt casse l'arrêt de la Cour d'appel de Paris qui valide le non-déférencement, après que la CNIL a demandé l'interprétation des textes, notamment du RGPD, parce que le droit à l'oubli doit limiter l'exception ici invoquée, à savoir le droit à l'information, même s'il s'agit d'une décision pénale concernant un commissaire-aux-comptes, car il s'agit d'une affaire privée et non pas ce qui concerne l'exercice de sa profession réglementée coeur du système financier. 

Lire la décision de la Première Chambre civile de la Cour de cassation du 27 novembre 2019, M.X.A. c/ Google. 

► Référence complète : De Backer, N., « Le principe de proportionnalité à l’épreuve de la liberté d’expression numérique », J.E.D.H., 2019/4, p. 243-277. 

____

► Référence complète : De Backer, N., « Le principe de proportionnalité à l’épreuve de la liberté d’expression numérique », J.E.D.H., 2019/4, p. 243-277.

____