Base Documentaire : Doctrine

 Référence complète : E. Netter, "Les technologies de conformité pour satisfaire les exigences du droit de la compliance. Exemple du numérique", in M.-A. Frison-Roche (dir.), L'obligation de ComplianceJournal of Regulation & Compliance (JoRC) et Dalloz, coll. "Régulations & Compliance", 2024, à paraître

____

📕lire une présentation générale de l'ouvrage, L'obligation de Compliance, dans lequel cet article est publié

____

 Résumé de cette contribution (fait par le Journal of Regulation & Compliance) : L’auteur distingue la Compliance qui renvoie aux buts monumentaux et la conformité, qui sont les moyens concrets que l’entreprise utilise pour tendre vers eux, par des procédés, des checks-liksts dans le suivi desquels l’opérateur rend des comptes (art. 5.2. RGPD). La technologie permet à l’opérateur de satisfaire à cette exigence, le caractère changeant des technologies s’ajustant bien au caractère très général des buts visés, qui laissent un large place aux entreprises et aux autorités publiques qui produisent du droit souple.

L’étude s’attache tout d’abord aux technologies existantes. A ce titre, le Droit peut par la Compliance interdire une technologie ou en restreindre l’usage, parce qu’elle contrarie les buts visés, par exemple la technologie de la décision entièrement automatisée produisant des effets juridiques sur des personnes. Parce que l’exercice est périlleux de dicter par la loi ce qui est bon et ce qui est mauvais en la matière, la méthode est plutôt celle de l’explicabilité, c’est-à-dire de la maîtrise par la connaissance par les autres.

Les Régulateurs développent pourtant de nombreuses exigences issues des Buts Monumentaux de la Compliance. Les opérateurs doivent mettre à jour leur technologie ou abandonnent la technologie obsolescente au regard des nouveaux risques ou pour permettre une concurrence effective ne n’enfermant pas les utilisateurs dans un système clos. Mais la puissance technologique ne doit pas se retourner et devienne trop intrusive, la vie privée et la liberté des personnes concernées devant être respectées, ce qui conduit aux principes de nécessité et de proportionnalité.

L’auteur souligne que les opérateurs doivent se conformer à la réglementation en recourant à certaines technologies, si elles sont disponibles, voire de contrecarrer celles-ci si elles sont contraires aux buts de la réglementation mais uniquement toujours si elles sont disponibles, la notion de « technologie disponible » devenant donc le critère de l’obligation ce qui en fait varier le contenu au fil des circonstances et du temps, notamment en matière de cybersécurité.

Dans une seconde partie, l’auteur examine les technologies qui ne sont que potentielles, celles que le Droit, notamment le Juge, pourrait requérir de l’entreprise qu’elle les invente pour remplir son obligation de compliance. Cela se comprend bien lorsqu’il s’agit de technologies en germe, dont la réalisation va se réaliser, par exemple en matière de transfert de données personnelles pour satisfaire le droit à la portabilité (RGPD) car il faut inciter les entreprises à développer des technologies qui leur sont d’un profit moins immédiate ou en matière de paiement sécurisé pour assurer une authentification forte (DSP 2).

Cela est plus difficile pour des technologies dont la faisabilité n’est pas même certaine, comme la vérification de l’âge en ligne ou l’interopérabilité des messageries sécurisés, deux exigences qui paraissent technologiquement contradictoires dans leurs termes , ce qui relève donc encore de la « technologie imaginaire ». Mais par la Compliance la pression exercée sur les entreprises, notamment les entreprises technologiques du numérique est telle que les investissements sont considérables pour y arriver.

L'auteur conclut que c'est pourtant l'ambition même de la Compliance et que l'avenir verra quel en sera le succès. 

____

🦉Cet article est accessible en texte intégrale pour les personnes inscrites aux enseignements de la professeur Marie-Anne Frison-Roche

________

1 février 2024

Enseignements

🌐suivre Marie-Anne Frison-Roche sur LinkedIn

🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law

____

 Référence complète : F. Ancel et M.-A. Frison-RocheDroit de la compliance, École nationale de la magistrature (ENM) en collaboration avec l'Ecole de Formation du Barreau (EFB), 1 et 2 février 2024, Paris, grand amphithéâtre de l'ENM.

____

🌐consulter sur LinkedIn une présentation générale de cette manifestation, renvoyant à une présentation de chaque intervention

____

 Présentation de l'enseignement : L'objectif de ce colloque de deux jours est de permettre aux magistrats et aux avocats d'appréhender les enjeux, les objectifs et les méthodes qui définissent le Droit de la Compliance tel qu'il se pratique dans les entreprises.

Les intervenants illustreront la judiciarisation croissante, qui s'articule avec difficulté avec la dimension supranationale, voire l'indifférence aux territoires, par exemple lorsque les contentieux portent sur des enjeux systémiques climatiques ou numériques : il en résulte un renouvellement de l’office du juge et du rôle des avocats.

Cela est à confronter avec le renouvellement du rôle et du fonctionnement des entreprises elles-mêmes.

L'analyse en est faite sous l’angle du droit civil, notamment le droit des contrats et le droit de la responsabilité. Sont également abordés le Droit des sociétés, le Droit répressif, mais aussi la façon dont le système juridique intègre désormais par des techniques de Compliance la gouvernance, la régulation, les enjeux climatiques, numériques et le bon fonctionnement des marchés financiers.

____

 Construction de l'enseignement  : Ce colloque se déroule en deux temps.

La première journée est conçue comme une présentation des grandes thématiques par lesquelles le Droit de la Compliance traverse les branches du Droit classique. Interviennent donc plutôt des professeurs de Droit qui synthétisent successivement les branches du Droit et mettent en perspective la façon dont les impératifs de Compliance font naître des situations nouvelles, des difficultés nouvelles, des solutions nouvelles.

Cela permet à la seconde journée de développer des questions pratiques, des questions d'actualité et de mettre en débat des questions controversées entre des personnes qui sont de sensibilités diverses. Interviennent à ce titre plutôt des magistrats, des membres d'autorités de régulation, des avocats, des membres d'associations, etc.

____

 Modalités d'inscription : l'enseignement est ouvert à l'ensemble des magistrats judiciaires et consulaires, ainsi qu'aux avocats.

Les inscriptions se font directement auprès de l'Ecole nationale de la magistrature ou auprès de l'EFB.

____

► Interviennent :  

🎤François Ancel, Conseiller à la Première Chambre civile de la Cour de cassation

🎤Thomas Baudesson, Avocat au Barreau de Paris, associé du cabinet Clifford Chance

🎤Guillaume Beaussonie, Professeur à l’Université Toulouse 1 Capitole

🎤Jacques Boulard, Premier Président de la Cour d’appel de Paris

🎤Marie Caffin-Moi, Professeure à l’Université Paris Panthéon-Assas

🎤Malik Chapuis, Juge au Tribunal judiciaire de Paris

🎤Lucie Chatelain, Responsable contentieux et plaidoyer, association SHERPA

🎤Jean-Benoît Devauges, Directeur Juridique, Ethique et Gouvernance des entreprises, MEDEF

🎤Marie-Anne Frison-Roche, Professeure de Droit de la régulation et de la Compliance, Directrice du Journal of Regulation & Compliance (JoRC)

🎤Arnaud Gossement, Avocat au Barreau de Paris, associé du cabinet Gossement Avocats

🎤Thibault Goujon-Bethan, Professeur à l’Université Jean Moulin Lyon 3 

🎤Christophe Ingrain, Avocat au Barreau de Paris, associé du cabinet Darrois Villey Maillot Brochier

🎤Isabelle Jegouzo, Directrice de l’AFA

🎤Anne-Valérie Le Fur, Professeure à l’Université Versailles Saint-Quentin-en-Yvelines

🎤Charlotte Michon, Avocate au barreau de Paris, associée du cabinet Charlotte Michon Avocat

🎤Jean-Baptiste Racine, Professeur à l’Université Paris Panthéon-Assas

🎤 Jean-Christophe Roda, Professeur à l’Université Jean-Moulin Lyon 3

🎤Jérôme Simon, 1er Vice-Procureur Financier

____

🧮lire ci-dessous le programme construit et organisé par François Ancel et Marie-Anne Frison-Roche ainsi que des comptes-rendus de chaque intervention⤵️

22 juin 2023

Base Documentaire : 05. CJCE - CJUE

 Référence complète : CJUE, 1ière chambre, 22 juin 2023, aff. C-579/21, Pankki S.

____

🏛️lire l'arrêt 

________

15 mars 2023

Base Documentaire : Doctrine

► Référence complète : I. Gavanon, "Data Protection Law in the Digital Economy Confronted to Monumental Goals", in M.-A. Frison-Roche (ed.), Compliance Monumental Goals, coll. "Compliance & Regulation", Journal of Regulation & Compliance (JoRC) et Bruylant, 2023, p. 137-146.

____

📘consulter une présentation générale de l'ouvrage, Compliance Monumental Goals, dans lequel cet article est publié.

____

► Résumé de l'article : 

________

18 juin 2021

Compliance : sur le vif

Le Droit est lent, mais ferme. Par son arrêt du 15 juin 2021, Facebook , la Cour de Justice de l'Union européenne interprète largement le pouvoir des Autorités nationales, puisqu'il sert la protection des personnes dans l'espace numérique (➡️📝CJUE, 15 juin 2021, Facebook)

 

Le reproche de lenteur est si souvent adressé au Droit et à la Justice.  Mais l'essentiel est que, dans le brouhaha de réglementations changeante, il établisse des principes clairs et ferme, permettant à chacun de savoir à quoi se tenir. Plus le monde est changeant et plus le Droit est donc requis.

Quand le Droit dégénèrent en réglementations, c'est alors au Juge de faire le Droit. Les "Cours suprêmes" apparaissent, de jure comme aux Etats-Unis, de fait comme dans l'Union européenne par la Cour de justice de l'Union européenne qui pose les principes, soit avant tout le monde, comme elle le fît pour le "droit à l'oubli" en 2014 (➡️📝CJUE, Google Spain, 13 mai 2014), puis l'impossibilité de transférer vers des pays-tiers des données sans l'accord des personnes concernées (➡️📝CJUE, Schrems, 6 octobre 2015).

Le contentieux Facebook est une sorte de roman. L'entreprise sait que c'est aux juridictions qu'elle parle avant tout. En Europe, elle le fait derrière les murailles de l'espace juridique irlandais, dont elle voudrait pouvoir ne pas sortir avant de mieux dominer l'espace numérique mondial, tandis que les autorités de régulation nationales veulent la saisir pour protéger les citoyens.

Se pose donc une question technique de "compétence juridictionnelle". Les textes y ont pourvu, mais le Droit est malhabile car conçu pour un monde encore ancré dans le sol : le RGPD de 2016 organise donc des coopérations entre Autorités nationales de régulation par un "guichet unique", obligeant les Autorités à se dessaisir pour que le cas ne soit traité que par l'Autorité nationale "chef de file". Cela évite l'éclatement et la contradiction. Mais avant l'adoption du RGPD, le Régulateur belge de protection des données avait ouvert une procédure contre Facebook à propos des cookies. Le mécanisme du "guichet unique", intervenu en 2016, n'est donc évoqué que devant la Cour d'appel de Bruxelles, à laquelle il est demandé de se dessaisir au profit de l'Autorité de Régulation irlandaise, puisque l'entreprise a en Europe son siège social dans ce pays. La Cour d'appel saisit la CJUE en question préjudicielle.

Par son arrêt du 15 juin 2021 (➡️📝CJUE, Facebook, 15 juin 2021), celle-ci suit les conclusions de son Avocat général  maintient la compétence du Régulateur national car, même après le RGPD, le cas supporte encore son traitement national. Retenons la raison. La Cour relève que la règle du "guichet unique" n'est pas absolue et que l'autorité national de régulation peut maintenir sa compétence, notamment si la coopération entre autorités nationale est difficile.

Plus encore, ne faudra pas un jour ajuster plus radicalement le Droit au fait que l'espace numérique n'est pas tenu par des frontières et que l'ambition de "coopération transfrontalière" est mal adaptée ? C'est bien sur ce constat d'inefficacité consubstantielle à l'espace numérique qu'a été conçu et mis en place le Parquet européen, qui n'est pas une coopération, ni un guichet unique, mais bien un organe de l'Union agissant localement pour l'Union, en lien direct avec les soucis de Compliance (➡️📝Frison-Roche, M.-A. "Le Parque Européen est un apport considérable au Droit de la Compliance", 2021 et Frison-Roche, M.-A., Entrée en scène du parquet européen: l'entreprise étant devenue elle-même procureur privé, allons-nous vers une alliance de tous les procureurs?, 2021).

C'est donc de cela qu'il faut s'inspirer.

____

► s'inscrire à la Newsletter MaFR ComplianceTech®

15 juin 2021

Base Documentaire : 05. CJCE - CJUE

Référence complète: CJUE, Grande chambre, Arrêt Facebook Ireland e.a. contre Gegevensbeschermingsautoriteit, C-645-19, 15 juin 2021

Lire l'arrêt

Lire le résumé de l'arrêt produit par la Cour

Lire le communiqué de presse

20 février 2020

Base Documentaire : Doctrine

Référence complète : Mounoussamy, L., Le smart contract, acte ou hack juridique ?, in Petites Affiches, n°37, 20 février 2020, pp. 12-19.

 

Résumé par les Petites Affiches : Dans cet article, l'auteur analyse l'arrivée du smart contract, système innovant né du développement des nouvelles technologies, dans un environnement juridique déjà structuré. Il commence par définir la nature du smart contract, et le positionne dans cet ensemble juridique mondialisé. Il en présente les impacts et les perspectives de développement, les forces et les faiblesses ainsi que l'intime relation que noues les technologies informatiques et le droit. Le smart contract est un outil dont l'utilisateur définira s'il viendra disrupter le contrat ou le parfaire.

8 septembre 2019

Blog

L'expérience montre que dans le numérique la technique juridique du du consentement n'est pas assez protectrice.
 
Ne serait-ce que parce que la technologie la plus simple neutralise le lien qui devrait exister entre le "consentement" de l'internaute et la "libre volonté" de celui-ci : le consentement de l'internaute ne protège celui-ci que dans la mesure où celui-ci peut de droit et de fait dire "non.
 
I. L'EXPERIENCE 
 
Par exemple un site inconnu met un ligne un article sur "les droits des arbres"...
J'y vais. Conformément au Réglement européen transposé en droit français, le site informe qu'il y a possibilité pour l'interaute d'accepter ou de refuser l'usage de ses données personnelles au bénéfice de "partenaires".
Si l'on continue la lecture, l'internaute est censé avoir tout accepter, mais il peut cliquer pour "personnaliser".
Je clique : là je trouve deux options : "tout accepter" ou "tout refuser", mais l'option "tout refuser" est désactivée. Il n'est possible que de cliquer sur l'option "tout accepter".
Il est possible, parce que la loi y oblige, de consulter la liste des partenaires : je clique et trouve une liste d'entreprises inconnues, à la dénomination étrangère, qui sans doute une fois captées mes données personnelles (et celles de mes contacts), ayant elles-mêmes un siège social hors de l'Union européenne, pourra accroître leur chiffre d'affaire.
Il est précisé dans un texte dont on ne peut pas prendre copie que ces "partenaires" peuvent utiliser mes données sans mon consentement et pour des finalités dont ils n'ont pas à m'informer. Mais que je peux "tout refuser". Là encore l'emplacement "tout refuser" existe mais il n'est pas actif, tandis que l'emplacement "tout accepter" est actif.
Comme je ne peux pas refuser (puisque c'est désactivé), et comme 99% des internautes n'ont jamais cliqué sur les deux premiers boutons, toutes leurs données ont été alimentées le marché des données qui permet le ciblage des produits qui se déversent dans l'espace numérique, à leur détriment et à celui de leur contact.
Tout en croyant lire un article désintéressé sur le "droit des arbres".
A la fin, je ne lis pas cet article, puisque je n'ai pas cliqué sur les seuls boutons actifs : "tout accepter".
 
Dans plus de 50% des cas, l'option "tout refuser" ou "personnaliser" n'est qu'une image mais n'est pas active. Et l'absorption des données vise aussi les contacts.
En échange d'un article fantaisiste sur les arbres et leurs droits, ou les crèmes pour être toujours jeunes, ou les vedettes qui changent de conjoints, ou sur des soi-disant tests pour savoir quel roi ou quelle roi vous devriez être si l'on reconnaissait tous vos mérites, etc.
Proposés sur le fil d'actualité par des sites inconnus ; en partenariat avec des entreprises étrangères que vous ne pourrez jamais atteindre. 
Et consultés en masse par des internautes auxquels l'on raconte par ailleurs que le "consentement" est la solution avérée pour une protection effective ....
Alors qu'il ne s'agit que de panneaux bâtis à la hâte par de nouveaux Potemkines ....
 
II. QUE FAIRE ? 
 
1. Sans doute ne pas se contenter du "consentement" dès l'instant qu'il est un mécanisme qui peut n'être pas l'expression d'une libre volonté : comment pourrait-il l'être si l'option "refuser" n'est pas active ?
 
2. Le lien entre volonté et consentement ne doit donc être "présumé" que d'une façon simple et non irréfragable, car nous devons refuser de vivre dans une société déshumanisée, fonctionnant sur des "consentements mécaniques", ce à quoi le numérique ne mène pas nécessairement. 
 
3. Confier par le Droit de la Compliance aux "opérateurs numériques cruciaux" (dans le cas d'espèce Facebook grâce auquel ces proposition de lecture gratuite sont faites sur le fil d'actualité des internautes) le soin de vérifier en Ex Ante l'effectivité du lien entre Volonté et Consentement : ici et concrétement la possibilité pour l'internaute de lire tout en refusant la captation de toutes ses données (au profit d'opérateurs étrangers qui n'ont pas même l'obligation de fournir à l'usager l'information de l'usage qui sera fait de leurs données personnelles).
 
_____

Mise à jour : 5 septembre 2019 (Rédaction initiale : 30 avril 2019 )

Publications

🌐 suivre Marie-Anne Frison-Roche sur LinkedIn

🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence générale : M.-A. Frison-RocheL'apport du Droit de la Compliance dans la Gouvernance d'Internet, rapport demandé par le Gouvernement, (remis en avril 2019), publié le 15 juillet 2019, 139 p.

_____

 📓 Lire le rapport

____

 

📝 Lire le résumé du rapport en 3 pages.

📝 Lire le résumé du rapport en 6 pages. 

____

 

►  Résumé du Rapport. "Gouverner Internet » ? Le Droit de la Compliance peut y aider.

Il consiste pour le Politique à viser des buts globaux dont il exige qu’ils soient atteints par des entreprises en position de le faire. Dans l’espace numérique construit sur le seul principe de Liberté, le Politique doit insérer un second principe : la Personne. Le respect de celle-ci, en équilibre avec la Liberté, peut être exigée par le Politique via le Droit de la Compliance qui internalise cette construction dans les entreprises numériques. Libéralisme et Humanisme deviennent les deux piliers de la Gouvernance d’Internet.

L’humanisme de la Compliance européenne vient alors enrichir le droit américain de la Compliance. Les opérateurs numériques cruciaux ainsi contraints, comme Facebook, YouTube, Google, etc., ne doivent alors n’exercer des pouvoirs que pour  mieux atteindre ces buts de protection des personnes (contre la haine, l’exploitation inadéquate des données, le terrorisme, etc.). Ils doivent garantir les droits des personnes, notamment les droits de propriété intellectuelle. Pour ce faire, il faut leur reconnaître le statut de « régulateurs de second niveau », supervisés par les autorités publiques.

Cette gouvernance de l’Internet par le Droit de la Compliance est en cours. Par l’Union bancaire. Par la finance verte. Par le RGDP. Il faut forcer le trait et donner une unité et une simplicité qui manquent encore, en insufflant une prétention politique à la Compliance : la Personne. La Cour de Justice l’a toujours fait. La Commission européenne à travers sa DG Connect y est prête.

 

►  Plan du Rapport (4 chapitres) : un état des lieux sur la digitalisation du monde (1), l'enjeu de civilisation qu'il constitue (2), les rapports de compliance tel qu'il convient de les concevoir entre l'Europe et les États-Unis, sans oublier que le monde ne se limite pas à eux, avec les solutions concrètes qui en découlent (3) et les solutions concrètes concrètes pour mieux organiser une gouvernance effective du numérique, en s'inspirant de ce qui est fait, notamment en matière bancaire, et en poursuivant ce qu'a déjà fait l'Europe en matière numérique, ce que l'a rendu déjà exemplaire et ce qu'elle doit poursuivre, la France pouvant être force de proposition par l'exemple (4).

____

 

📝 Voir la présentation écrite du rapport par Monsieur le Ministre Cédric O.

 🏛 Ecouter la présentation orale du rapport par Monsieur le Ministre Cédric O à l'occasion des discussions parlementaires de la loi contre les contenus haineux sur Internet. 

____

 

💬  Lire l'interview paru le 18 juillet 2019 : "Gouvernance d'Internet : un enjeu de civilisation"

📝  Lire l'article rendant compte du rapport dans la Revue européenne du droit des médias et du numérique, automne 2019.

📻 Ecouter l'émission de France Culture du 21 juillet 2019 au cours de laquelle ses conséquences sont appliquées à la cryptomonnaie "Libra". 

 🏛 Présentation du Rapport au Collègue du Conseil Supérieur  de l'Audiovisuel (CSA) le 5 septembre 2019, suivie d'une discussion avec ses membres. 

💬  Lire l'interview paru le 20 décembre 2019 : "Le droit de la compliance pour réguler l'Internet".

____

 

Lire ci-dessous les 54 propositions qui concluent le Rapport.

5 juin 2019

Base Documentaire : Doctrine

Référence complète : Thierache, C., RGPD vs Cloud Act : le nouveau cadre légal américain est-il anti-RGPD ?, in La Revue juridique Dalloz IP/IT,  n°6, 2019, p.367

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"