1 novembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Due Process et Droit de la Compliance sur les données personnelles: mêmes règles car un seul objectif (TUE, Ordonnance du 29 octobre 2020, Facebook Ireland Ltd c / C.E.) (Due process and Personal Data Compliance Law: same rules, one Goal (TEU, Order, October 29, 2020, Facebook Ireland Ltd v/ E.C.)), Newsletter MAFR - Law, Compliance, Regulation, 1er novembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Lire l'interview donné par ailleurs de Marie-Anne Frison-Roche dans Actu-juridiques à propos de cet arrêt

 

Résumé de la news: 

Dans le cadre d’une procédure ouverte au fond pour comportements anticoncurrentiels, la Commission européenne a entre le 13 mars et le 11 novembre 2019 a requis de Facebook par trois fois des communications d’informations, réitérées dans une décision de mai 2020. 

Facebook le conteste  en allégeant que les documents demandés contiendraient des informations sensibles à caractère très personnels qu’une transmission à la Commission rendrait accessible à un nombre trop élargi d’observateurs, alors que "the documents requested under the contested decision were identified on the basis of wideranging search terms, (...) there is strong likelihood that many of those documents will not be necessary for the purposes of the Commission’s investigation (les documents demandés au titre de la décision attaquée ayant été identifiés sur la base de termes de recherche plus larges (...), il existe une forte probabilité que nombre de ces documents ne soient pas nécessaires aux fins de l’enquête de la Commission (our translation))".

La contestation évoque donc la méconnaissance des principes de nécessité et de proportionnalité, mais aussi de garanties procédurales (due process), puisque ces éléments probatoires sont recueillis sans protection et utilisés par la suite. En outre, Facebook invoque ce qui serait la violation du droit au respect des données personnelles de ses employés dont les courriels sont transférés. 

La Cour rappelle l'office du juge en la matière qui est contraint notamment par la condition d'urgence pour adopter une mesure provisoire, admissible en outre que s'il y a un dommage imminent et irréversible. Elle souligne que les Autorités publiques d'une part bénéficient d'une présomption de légalité lorsqu'elles agissent et que d'autre part elles peuvent obtenir et utiliser des données à caractère personne dès l'instant que cela est nécessaire à leur fonction d'intérêt public. De nombreuses allégations du demandeur sont rejetées comme étant hypothétiques.

Mais la Cour analyse l'ensemble des principes évoqués au regard du cas très concret. Or,  en croisant l'ensemble des principes et droits en cause,  la Cour estime que la Commission européenne n'a pas respecté le principe de nécessité et de proportionnalité en ce qui concerne les données personnelles très sensibles des employés, ses demandes élargissant le cercle des informations sans nécessité et d'une façon disproportionnalité dès l'instant que l'information en cause est très sensible (comme la santé des employés, les opinions politiques des tiers, etc.).  

Il convient donc de distinguer parmi la masse des documents exigés, pour lesquels la même garantie doit être accordée dans une technique de communication que dans une technique d'inspection, ceux qui sont transférables sans précaution supplémentaire et ceux qui, en raison de leur nature de données personnelles très sensibles, doivent faire l'objet d'une "procédure alternative". 

Celle-ci va prendre la forme d'un examen des documents considérés par le demandeur comme très sensibles et qu'il communiquera sur un support électronique distinct, par les agents de la Commission européenne , que l'on ne peut soupçonner à priori de détourner la loi. Cet examen se déroulera dans une "data room virtuelle", en présence des avocats de Facebook. En cas de désaccord entre le demandeur et les enquêtes, le différent pourra être porté devant le directeur de l’information, de la communication et des médias de la DG Concurrence de la Commission européenne.

___

On peut tirer trois leçons de cette ordonnance :

  1. Cette décision montre que le Droit processuel et le Droit de la Compliance ne sont pas en opposition,. L'on dit souvent que la Compliance garantit l'efficacité et le Droit processuel garantit les droits fondamentaux, la protection de l'un devant se traduire par la diminution de la garantie de l'autre. C'est faux. Comme le montre cette décision, à travers la notion-clé de protection des données personnelles sensibles (cœur du Droit de la Compliance) et le souci de la procédure (équivalence entre procédure de communication et d'inspection ; organisation contradictoire de l'examen des informations personnelles sensibles), l'on voit une nouvelle fois que les deux branches du Droit expriment le même souci ont le même objectif : protéger les personnes.
  2. Le juge est apte à trouver immédiatement une solution opératoire, en proposant une « procédure alternative » axée autour du principe du contradictoire et conciliant les intérêts de la Commission et de Facebook a montré qu’elle était capable d’apporter des solutions alternatives à celles dont elle suspend l'exécution, solution adaptée à la situation et qui fait l'équilibre entre les intérêts des deux parties en présence. 
  3. Le meilleur Ex Ante est celui qui anticipe l’Ex Post par la préconstitution des preuves. Ainsi l'entreprise doit être à même de démontrer ultérieurement le souci qu'elle a eu des droits des personnes, ici des employés, pour ne pas être entre dans la main des Autorités publiques de sanction. Cette culture probatoire en Ex Ante est requise non seulement des entreprises mais encore des Autorités publiques qui elles aussi doivent se justifier.  

__________

 

 

 

19 octobre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Conditions de validité d'un contrat de gestion des données de santé entre une plateforme de droit public français et un entreprise de gestion de données, filiale d'une entreprise américaine : decision du Conseil d'Etat (Conditions for the legality of a platform managed by an American company hosting European health data​: French Conseil d'Etat decision), Newsletter MAFR - Law, Compliance, Regulation, 19 octobre 2020

 

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

_____

 

Résumé de la news : Dans son ordonnance de référé du 13 octobre 2020, Conseil national du logiciel libre (décision dite Health Data Hub), le Conseil d'Etat a déterminé les règles de droit gouvernant la possibilité de conférer la gestion de données sensible sur une plateforme à une entreprise non-européenne, à travers le cas particulier de l'arrêté et du contrat par lequel la gestion de la plateforme centralisant des données de santé pour lutter contre l'épidémie de Covid-19 a été confiée à la filiale irlandaise d'une entreprise américaine, en l'espèce Microsoft.

Le Conseil d'Etat a utilisé à titre principal la jurisprudence de la CJUE, notamment l'arrêt du 16 juillet 2020, dit Schrems 2, à la lumière duquel il a interprété et le droit français et le contrat liant le GIP et    

Le Conseil d'Etat a conclu qu'il n'était pas possible de transférer ces données aux Etats-Unis, que le contrat ne pouvait que s'interpréter ainsi et que les modifications de l'arrêté et du contrat sécurisé cela. Mais il a observé que le risque d'obtention par les Autorités publiques américain demeurait.

Parce que l'ordre public exige le maintien de cette plateforme et qu'il n'existe pas pour l'instant d'autre solution technique, le Conseil d'Etat a maintenu le principe pour l''instant de sa gestion par Microsoft, le temps qu'un opérateur européen soit trouvé. Pendant ce temps le contrôle de la CNIL, dont les observations ont été prises en considération, sera opéré. 

 

 

L'on peut tirer trois leçons de cette décision de grande importante :

  • Il existe un parfait continuum entre l'Ex Ante et l'Ex Post, puisque par un référé, le Conseil d'Etat est parvenu à obtenir un modification de l'arrêté, une modification des clauses contractuelles par Microsoft et des propos engageant du Ministre pour que, le plus vite possible, la plateforme soit gérée par un opérateur Européen. Ainsi, parce que c'est du Droit de la Compliance, le temps pertinent du juge est le futur. 

 

  • Le Conseil d'Etat a mis la protection des personnes au cœur de tout le raisonnement, ce qui est conforme à la définition du Droit de la Compliance. Il a réussi à résoudre le dilemme : soit protéger les personnes grâce à la personne pour lutter contre le virus, soit protéger les personne en empêchant la centralisation des données et leur captation par les Autorités politiques américaines. Par une décision "politique", c'est-à-dire une action pour le futur, le Conseil a trouvé une solution d'attente pour protéger les personnes et contre la maladie et contre la dépossession de leurs données, en exigeant d'une solution européenne soit trouvée. 

 

  • Le Conseil d'Etat a mis en exergue la Cour de Justice de l'Union européenne comme l'alpha et l'oméga du Droit de la Compliance. En n'interprétant le contrat passé entre un Groupement d'intérêt public français et une filiale irlandaise d'un groupe américain qu'au regard de la jurisprudence de la Cour de Justice de l'Union européenne, le Conseil d'Etat montre que l'Europe souveraine des données peut se construire. Et que les juridictions sont au centre de cela. 

 

___________

 

Lire l'interview donnée à propos de cette Ordonnance Health Data Hub. 

 

Pour aller plus loin, sur la question du Droit de la Compliance en matière de protection des données de santé, lire la news du 25 août 2020: The always in expansion "Right to be Forgotten"​: a legitimate Oxymore in Compliance Law built on Information. Example of​ Cancer Survivors Protection 

15 mai 2019

Responsabilités éditoriales : Direction de la série "Régulations & Compliance", JoRC & Dalloz

Référence générale : Frison-Roche, M.-A. (dir.), Pour une Europe de la Compliance, série "Régulations & Compliance", Dalloz, 2019, 124 pages. 

 

La dimension politique est intrinsèque au Droit de la Compliance. En effet, les mécanismes de Compliance consistent à internaliser dans certaines entreprises l’obligation de concrétiser des buts d’intérêt général fixés par des Autorités publiques. Celles-ci contrôlent la réorganisation Ex Ante que cela implique pour ces entreprises et sanctionnent Ex Post l’inadéquation éventuelle des entreprises, devenues pour ce faire transparentes. Ce nouveau mode de gouvernance établit un continuum entre Régulation, Supervision, Compliance (2017) et renouvelle les liens entre les Entreprises, Régulateurs et Juges (2018).

Cette dimension politique doit être accrue : le Droit de la Compliance doit aujourd’hui servir à construire l’Europe.

Non seulement on observe la construction d’un Droit européen de la Compliance, à la fois objet par objet, secteur par secteur, but par but, mais encore la construction d’un Droit européen de la Compliance qui les dépassent et les unifie. Devenant en cela autonome du Droit américain et cessant d’être en réaction, voire sur la défensive, le Droit de la Compliance contribue au projet européen, en lui offrant une ambition plus haute, que l’Europe peut porter et qui peut porter l’Europe, non seulement pour préserver l’économie européenne de la corruption ou du blanchiment, mais en revendiquant la protection de la nature et des êtres humains.

C’est pourquoi l’ouvrage décline les « raisons et les objectifs » d’une Europe de la Compliance, ce qui permet d’en décrire, détecter, voire prédire les voies et instruments.

 

Participent à l’ouvrage : Thierry Bonneau, Monique Canto-Sperber, Jean-Jacques Daigre, Charles Duchaine, Marie-Anne Frison-Roche, Arnaud de La Cotardière, Koen Lenaerts, Jean-Claude Marin, Didier Martin, Xavier Musca, Pierre Sellal et Pierre Vimont.

Chaque mention d'un auteur renvoie à un résumé de sa contribution. 

 

Lire l'avant-propos de l'ouvrage

 

Lire l'entretien donné à la Lettre des Juristes d'Affaires lors de la sortie de l'ouvrage. 

 

Consulter la Série dans laquelle l'ouvrage est publié aux Éditions Dalloz.

 

 

8 janvier 2019

Blog

La collection Droit & Economie sort son 33ième volume. 

Il est consacré à l'Europe, c'est-à-dire à l'amitié franco-allemande, puisqu'aujourd'hui c'est sur cette amitié-là que l'on peut croire encore à l'Europe.

Si l'on a une vision politique des espaces, alors c'est la notion d'amitié qui doit ressortir.

C'est autour d'elle que Bruno Le Maire a construit sa préface : lire la préface que le ministre de l'économie et des finances a fait à l'ouvrage. 

26 octobre 2018

Base Documentaire : Doctrine

Référence complète : Rabagny-Lagoa, A., La conformité dans le règlement UE n° 2016/679, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, in Petites Affiches, octobre 2018, n°215, pp. 8-14.

 

 

Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance".

18 juillet 2018

Base Documentaire : 05.2. Commission européenne

Référence complète: Commission européenne, 18 juillet 2018, Décision relative à une procédure d’application de l’article 102 du traité sur le fonctionnement de l’Union européenne et de l’article 54 de l’accord EEE, Google Android, Affaire AT.40099

Lire un résumé de la décision

1 mars 2018

Organisation de manifestations scientifiques

1 juin 2015

Base Documentaire : Doctrine

Référence complète : M., Mezaguer, Approche transactionnelle et garanties procédurales en droit antitrust de l'Union européenne in Revue de l'Union européenne, n° 389, 2015, p. 353.

 

 

Les étudiants de Sciences-Po peuvent lire l'article via le drive " MAFR – Régulation & Compliance "

16 avril 2014

Base Documentaire : 06.1. Textes de l'Union Européenne

Référence complète: Parlement Européen et Conseil européen, Règlement (UE) No 596/2014 du 16 avril 2014 sur les abus de marché (règlement relatif aux abus de marché) et abrogeant la directive 2003/6/CE du Parlement européen et du Conseil et les directives 2003/124/CE, 2003/125/CE et 2004/72/CE de la Commission

Lire le règlement