18 juin 2021

Compliance : sur le vif

Le Droit est lent, mais ferme. Par son arrêt du 15 juin 2021, Facebook , la Cour de Justice de l'Union européenne interprète largement le pouvoir des Autorités nationales, puisqu'il sert la protection des personnes dans l'espace numérique (➡️📝CJUE, 15 juin 2021, Facebook)

 

Le reproche de lenteur est si souvent adressé au Droit et à la Justice.  Mais l'essentiel est que, dans le brouhaha de réglementations changeante, il établisse des principes clairs et ferme, permettant à chacun de savoir à quoi se tenir. Plus le monde est changeant et plus le Droit est donc requis.

Quand le Droit dégénèrent en réglementations, c'est alors au Juge de faire le Droit. Les "Cours suprêmes" apparaissent, de jure comme aux Etats-Unis, de fait comme dans l'Union européenne par la Cour de justice de l'Union européenne qui pose les principes, soit avant tout le monde, comme elle le fît pour le "droit à l'oubli" en 2014 (➡️📝CJUE, Google Spain, 13 mai 2014), puis l'impossibilité de transférer vers des pays-tiers des données sans l'accord des personnes concernées (➡️📝CJUE, Schrems, 6 octobre 2015).

Le contentieux Facebook est une sorte de roman. L'entreprise sait que c'est aux juridictions qu'elle parle avant tout. En Europe, elle le fait derrière les murailles de l'espace juridique irlandais, dont elle voudrait pouvoir ne pas sortir avant de mieux dominer l'espace numérique mondial, tandis que les autorités de régulation nationales veulent la saisir pour protéger les citoyens.

Se pose donc une question technique de "compétence juridictionnelle". Les textes y ont pourvu, mais le Droit est malhabile car conçu pour un monde encore ancré dans le sol : le RGPD de 2016 organise donc des coopérations entre Autorités nationales de régulation par un "guichet unique", obligeant les Autorités à se dessaisir pour que le cas ne soit traité que par l'Autorité nationale "chef de file". Cela évite l'éclatement et la contradiction. Mais avant l'adoption du RGPD, le Régulateur belge de protection des données avait ouvert une procédure contre Facebook à propos des cookies. Le mécanisme du "guichet unique", intervenu en 2016, n'est donc évoqué que devant la Cour d'appel de Bruxelles, à laquelle il est demandé de se dessaisir au profit de l'Autorité de Régulation irlandaise, puisque l'entreprise a en Europe son siège social dans ce pays. La Cour d'appel saisit la CJUE en question préjudicielle.

Par son arrêt du 15 juin 2021 (➡️📝CJUE, Facebook, 15 juin 2021), celle-ci suit les conclusions de son Avocat général  maintient la compétence du Régulateur national car, même après le RGPD, le cas supporte encore son traitement national. Retenons la raison. La Cour relève que la règle du "guichet unique" n'est pas absolue et que l'autorité national de régulation peut maintenir sa compétence, notamment si la coopération entre autorités nationale est difficile.

Plus encore, ne faudra pas un jour ajuster plus radicalement le Droit au fait que l'espace numérique n'est pas tenu par des frontières et que l'ambition de "coopération transfrontalière" est mal adaptée ? C'est bien sur ce constat d'inefficacité consubstantielle à l'espace numérique qu'a été conçu et mis en place le Parquet européen, qui n'est pas une coopération, ni un guichet unique, mais bien un organe de l'Union agissant localement pour l'Union, en lien direct avec les soucis de Compliance (➡️📝Frison-Roche, M.-A. "Le Parque Européen est un apport considérable au Droit de la Compliance", 2021 et Frison-Roche, M.-A., Entrée en scène du parquet européen: l'entreprise étant devenue elle-même procureur privé, allons-nous vers une alliance de tous les procureurs?, 2021).

C'est donc de cela qu'il faut s'inspirer.

____

► s'inscrire à la Newsletter MaFR ComplianceTech®

15 juin 2021

Base Documentaire : 05. CJCE - CJUE

Référence complète: CJUE, Grande chambre, Arrêt Facebook Ireland e.a. contre Gegevensbeschermingsautoriteit, C-645-19, 15 juin 2021

Lire l'arrêt

Lire le résumé de l'arrêt produit par la Cour

Lire le communiqué de presse

20 février 2020

Base Documentaire : Doctrine

Référence complète : Mounoussamy, L., Le smart contract, acte ou hack juridique ?, in Petites Affiches, n°37, 20 février 2020, pp. 12-19.

 

Résumé par les Petites Affiches : Dans cet article, l'auteur analyse l'arrivée du smart contract, système innovant né du développement des nouvelles technologies, dans un environnement juridique déjà structuré. Il commence par définir la nature du smart contract, et le positionne dans cet ensemble juridique mondialisé. Il en présente les impacts et les perspectives de développement, les forces et les faiblesses ainsi que l'intime relation que noues les technologies informatiques et le droit. Le smart contract est un outil dont l'utilisateur définira s'il viendra disrupter le contrat ou le parfaire.

8 septembre 2019

Blog

L'expérience montre que dans le numérique la technique juridique du du consentement n'est pas assez protectrice.
 
Ne serait-ce que parce que la technologie la plus simple neutralise le lien qui devrait exister entre le "consentement" de l'internaute et la "libre volonté" de celui-ci : le consentement de l'internaute ne protège celui-ci que dans la mesure où celui-ci peut de droit et de fait dire "non.
 
I. L'EXPERIENCE 
 
Par exemple un site inconnu met un ligne un article sur "les droits des arbres"...
J'y vais. Conformément au Réglement européen transposé en droit français, le site informe qu'il y a possibilité pour l'interaute d'accepter ou de refuser l'usage de ses données personnelles au bénéfice de "partenaires".
Si l'on continue la lecture, l'internaute est censé avoir tout accepter, mais il peut cliquer pour "personnaliser".
Je clique : là je trouve deux options : "tout accepter" ou "tout refuser", mais l'option "tout refuser" est désactivée. Il n'est possible que de cliquer sur l'option "tout accepter".
Il est possible, parce que la loi y oblige, de consulter la liste des partenaires : je clique et trouve une liste d'entreprises inconnues, à la dénomination étrangère, qui sans doute une fois captées mes données personnelles (et celles de mes contacts), ayant elles-mêmes un siège social hors de l'Union européenne, pourra accroître leur chiffre d'affaire.
Il est précisé dans un texte dont on ne peut pas prendre copie que ces "partenaires" peuvent utiliser mes données sans mon consentement et pour des finalités dont ils n'ont pas à m'informer. Mais que je peux "tout refuser". Là encore l'emplacement "tout refuser" existe mais il n'est pas actif, tandis que l'emplacement "tout accepter" est actif.
Comme je ne peux pas refuser (puisque c'est désactivé), et comme 99% des internautes n'ont jamais cliqué sur les deux premiers boutons, toutes leurs données ont été alimentées le marché des données qui permet le ciblage des produits qui se déversent dans l'espace numérique, à leur détriment et à celui de leur contact.
Tout en croyant lire un article désintéressé sur le "droit des arbres".
A la fin, je ne lis pas cet article, puisque je n'ai pas cliqué sur les seuls boutons actifs : "tout accepter".
 
Dans plus de 50% des cas, l'option "tout refuser" ou "personnaliser" n'est qu'une image mais n'est pas active. Et l'absorption des données vise aussi les contacts.
En échange d'un article fantaisiste sur les arbres et leurs droits, ou les crèmes pour être toujours jeunes, ou les vedettes qui changent de conjoints, ou sur des soi-disant tests pour savoir quel roi ou quelle roi vous devriez être si l'on reconnaissait tous vos mérites, etc.
Proposés sur le fil d'actualité par des sites inconnus ; en partenariat avec des entreprises étrangères que vous ne pourrez jamais atteindre. 
Et consultés en masse par des internautes auxquels l'on raconte par ailleurs que le "consentement" est la solution avérée pour une protection effective ....
Alors qu'il ne s'agit que de panneaux bâtis à la hâte par de nouveaux Potemkines ....
 
II. QUE FAIRE ? 
 
1. Sans doute ne pas se contenter du "consentement" dès l'instant qu'il est un mécanisme qui peut n'être pas l'expression d'une libre volonté : comment pourrait-il l'être si l'option "refuser" n'est pas active ?
 
2. Le lien entre volonté et consentement ne doit donc être "présumé" que d'une façon simple et non irréfragable, car nous devons refuser de vivre dans une société déshumanisée, fonctionnant sur des "consentements mécaniques", ce à quoi le numérique ne mène pas nécessairement. 
 
3. Confier par le Droit de la Compliance aux "opérateurs numériques cruciaux" (dans le cas d'espèce Facebook grâce auquel ces proposition de lecture gratuite sont faites sur le fil d'actualité des internautes) le soin de vérifier en Ex Ante l'effectivité du lien entre Volonté et Consentement : ici et concrétement la possibilité pour l'internaute de lire tout en refusant la captation de toutes ses données (au profit d'opérateurs étrangers qui n'ont pas même l'obligation de fournir à l'usager l'information de l'usage qui sera fait de leurs données personnelles).
 
_____

Mise à jour : 5 septembre 2019 (Rédaction initiale : 30 avril 2019 )

Publications

►  Référence générale : Frison-Roche, M.-A., L'apport du Droit de la Compliance dans la Gouvernance d'Internet, rapport demandé par le Gouvernement, (remis en avril 2019), publié le 15 juillet 2019, 139 p. ; sera ultérieurement traduit en anglais.

_____

 📓 Lire le rapport.

 

📝 Lire le résumé du rapport en 3 pages.

📝 Lire le résumé du rapport en 6 pages. 

____

 

►  Résumé du Rapport. "Gouverner Internet » ? Le Droit de la Compliance peut y aider.

Il consiste pour le Politique à viser des buts globaux dont il exige qu’ils soient atteints par des entreprises en position de le faire. Dans l’espace numérique construit sur le seul principe de Liberté, le Politique doit insérer un second principe : la Personne. Le respect de celle-ci, en équilibre avec la Liberté, peut être exigée par le Politique via le Droit de la Compliance qui internalise cette construction dans les entreprises numériques. Libéralisme et Humanisme deviennent les deux piliers de la Gouvernance d’Internet.

L’humanisme de la Compliance européenne vient alors enrichir le droit américain de la Compliance. Les opérateurs numériques cruciaux ainsi contraints, comme Facebook, YouTube, Google, etc., ne doivent alors n’exercer des pouvoirs que pour  mieux atteindre ces buts de protection des personnes (contre la haine, l’exploitation inadéquate des données, le terrorisme, etc.). Ils doivent garantir les droits des personnes, notamment les droits de propriété intellectuelle. Pour ce faire, il faut leur reconnaître le statut de « régulateurs de second niveau », supervisés par les autorités publiques.

Cette gouvernance de l’Internet par le Droit de la Compliance est en cours. Par l’Union bancaire. Par la finance verte. Par le RGDP. Il faut forcer le trait et donner une unité et une simplicité qui manquent encore, en insufflant une prétention politique à la Compliance : la Personne. La Cour de Justice l’a toujours fait. La Commission européenne à travers sa DG Connect y est prête.

 

►  Plan du Rapport (4 chapitres) : un état des lieux sur la digitalisation du monde (1), l'enjeu de civilisation qu'il constitue (2), les rapports de compliance tel qu'il convient de les concevoir entre l'Europe et les États-Unis, sans oublier que le monde ne se limite pas à eux, avec les solutions concrètes qui en découlent (3) et les solutions concrètes concrètes pour mieux organiser une gouvernance effective du numérique, en s'inspirant de ce qui est fait, notamment en matière bancaire, et en poursuivant ce qu'a déjà fait l'Europe en matière numérique, ce que l'a rendu déjà exemplaire et ce qu'elle doit poursuivre, la France pouvant être force de proposition par l'exemple (4).

____

 

📝 Voir la présentation écrite du rapport par Monsieur le Ministre Cédric O.

 🏛 Ecouter la présentation orale du rapport par Monsieur le Ministre Cédric O à l'occasion des discussions parlementaires de la loi contre les contenus haineux sur Internet. 

____

 

💬  Lire l'interview paru le 18 juillet 2019 : "Gouvernance d'Internet : un enjeu de civilisation"

📝  Lire l'article rendant compte du rapport dans la Revue européenne du droit des médias et du numérique, automne 2019.

📻 Ecouter l'émission de France Culture du 21 juillet 2019 au cours de laquelle ses conséquences sont appliquées à la cryptomonnaie "Libra". 

 🏛 Présentation du Rapport au Collègue du Conseil Supérieur  de l'Audiovisuel (CSA) le 5 septembre 2019, suivie d'une discussion avec ses membres. 

💬  Lire l'interview paru le 20 décembre 2019 : "Le droit de la compliance pour réguler l'Internet".

____

 

Lire ci-dessous les 54 propositions qui concluent le Rapport.

5 juin 2019

Base Documentaire : Doctrine

Référence complète : Thierache, C., RGPD vs Cloud Act : le nouveau cadre légal américain est-il anti-RGPD ?, in La Revue juridique Dalloz IP/IT,  n°6, 2019, p.367

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"