Matières à Réflexions

Référence complète: Frison-Roche, M.-A., Conditions de validité d'un contrat de gestion des données de santé entre une plateforme de droit public français et un entreprise de gestion de données, filiale d'une entreprise américaine : decision du Conseil d'Etat (Conditions for the legality of a platform managed by an American company hosting European health data​: French Conseil d'Etat decision), Newsletter MAFR - Law, Compliance, Regulation, 19 octobre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

_____

Résumé de la news : Dans son ordonnance de référé du 13 octobre 2020, Conseil national du logiciel libre (décision dite Health Data Hub), le Conseil d'Etat a déterminé les règles de droit gouvernant la possibilité de conférer la gestion de données sensible sur une plateforme à une entreprise non-européenne, à travers le cas particulier de l'arrêté et du contrat par lequel la gestion de la plateforme centralisant des données de santé pour lutter contre l'épidémie de Covid-19 a été confiée à la filiale irlandaise d'une entreprise américaine, en l'espèce Microsoft.

Le Conseil d'Etat a utilisé à titre principal la jurisprudence de la CJUE, notamment l'arrêt du 16 juillet 2020, dit Schrems 2, à la lumière duquel il a interprété et le droit français et le contrat liant le GIP et    

Le Conseil d'Etat a conclu qu'il n'était pas possible de transférer ces données aux Etats-Unis, que le contrat ne pouvait que s'interpréter ainsi et que les modifications de l'arrêté et du contrat sécurisé cela. Mais il a observé que le risque d'obtention par les Autorités publiques américain demeurait.

Parce que l'ordre public exige le maintien de cette plateforme et qu'il n'existe pas pour l'instant d'autre solution technique, le Conseil d'Etat a maintenu le principe pour l''instant de sa gestion par Microsoft, le temps qu'un opérateur européen soit trouvé. Pendant ce temps le contrôle de la CNIL, dont les observations ont été prises en considération, sera opéré. 

L'on peut tirer trois leçons de cette décision de grande importante :

• Il existe un parfait continuum entre l'Ex Ante et l'Ex Post, puisque par un référé, le Conseil d'Etat est parvenu à obtenir un modification de l'arrêté, une modification des clauses contractuelles par Microsoft et des propos engageant du Ministre pour que, le plus vite possible, la plateforme soit gérée par un opérateur Européen. Ainsi, parce que c'est du Droit de la Compliance, le temps pertinent du juge est le futur. 

• Le Conseil d'Etat a mis la protection des personnes au cœur de tout le raisonnement, ce qui est conforme à la définition du Droit de la Compliance. Il a réussi à résoudre le dilemme : soit protéger les personnes grâce à la personne pour lutter contre le virus, soit protéger les personne en empêchant la centralisation des données et leur captation par les Autorités politiques américaines. Par une décision "politique", c'est-à-dire une action pour le futur, le Conseil a trouvé une solution d'attente pour protéger les personnes et contre la maladie et contre la dépossession de leurs données, en exigeant d'une solution européenne soit trouvée. 

• Le Conseil d'Etat a mis en exergue la Cour de Justice de l'Union européenne comme l'alpha et l'oméga du Droit de la Compliance. En n'interprétant le contrat passé entre un Groupement d'intérêt public français et une filiale irlandaise d'un groupe américain qu'au regard de la jurisprudence de la Cour de Justice de l'Union européenne, le Conseil d'Etat montre que l'Europe souveraine des données peut se construire. Et que les juridictions sont au centre de cela. 

___________

Lire l'interview donnée à propos de cette Ordonnance Health Data Hub. 

Pour aller plus loin, sur la question du Droit de la Compliance en matière de protection des données de santé, lire la news du 25 août 2020: The always in expansion "Right to be Forgotten"​: a legitimate Oxymore in Compliance Law built on Information. Example of​ Cancer Survivors Protection 

Référence complète: Serious Fraud Office, Operational Handbook about Deferred Prosecution Agreements, Octobre 2020

Lire le manuel opérationnel (en anglais)

Résumé de la leçon.

Le Droit de la Compliance semble être synonyme d"extraterritorialité, en ce qu'il se fit connaître d'une façon spectaculaire en 2014 par la décision américaine sanctionnant la banque française BNPP.  L'on a dès lors souvent assimilé "Compliance" et extraterritorialité du Droit américain, englobant les deux dans la même opprobre.Celle-ci est par exemple d'une grande violence dans le rapport dit "Gauvain" de 2019. Mais sauf à croire que le Droit n'est que l'instrument pur du Politique, en raison des "buts monumentaux" poursuivis par le Droit de la Compliance, celui-ci ne peut avoir en tant qu'instrument qu'une portée extraterritoriale, sauf à être utilisé par une Autorité locale pour ne servir qu'un but local. Dans cette hypothèse, précise et restreinte, l'extraterritorialité du Droit de la Compliance doit être combattue, ce qui est fait par la Cour de la Haye dans sa jurisprudence de 2018. Mais pour résoudre cette question particulière, l'on risque de détruire l'idée même de Droit de la Compliance, lequel suppose l'extraterritorialité. Et au moment même où le continent asiatique est en train d'utiliser le Droit de la Compliance dans une définition mécanique pour mieux s'isoler. 

Si l'on prend les autres sujets sur lesquels porte le Droit de la Compliance, lequel excède la question des embargos, l'on peut même soutenir qu'il a été fait pour ne pas être brider par les territoires, lesquels sont à la fois l'ancrage des Etats et leur intrinsèque faiblesse. L'internalisation dans les entreprises permet cela. Elle le permet tout d'abord par le mécanisme de "l'autorégulation". En effet, si l'on fait un lien, voire une identification entre la Compliance, l'éthique et l'autorégulation, alors la question des frontières ne se pose plus. Ainsi, l'entreprise s'auto-instituant non seulement comme un "néo-constituant" mais comme un ordre juridique complet, y compris dans le règlement des différents et dans les voies d'exécution (enforcement par le bannissement). La question de l'efficacité est donc réglée mais ouvre alors celle de la légitimité.  C'est pourquoi l'Europe a vocation à porter une conception extraterritoriale d'une définition pourtant européenne de ce qu'est le Droit de la Compliance. C'est ce à quoi les arrêts de la Cour de justice de l'Union européenne du 24 septembre 2019 viennent de mettre un coup d'arrêt. 

Se reporter à la Présentation générale du Cours de Droit de la Compliance.

Consulter le Dictionnaire bilingue du Droit de la Régulation et de la Compliance et la Newsletter MAFR - Law, Compliance, Regulation.

Consulter la Bibliographie générale du Cours de Droit de la Compliance

Consulter la bibliographie ci-dessous, spécifique à cette Leçon relative aux enjeux pratiques du Droit de la Compliance

Référence complète: Petit, N., Droit européen de la concurrence, 3e édition, Collection "Précis Domat Droit Public/Droit privé", LGDJ-Lextenso, 2020

Lire la quatrième de couverture

Lire la table des matières

Référence complète: Financial Stability Board, The Use of Supervisory and Regulatory Technology by Authorities and Regulated Institutions. Market Developments and Stability Implications, Rapport du 9 octobre 2020, 36 p. 

Lire le rapport (en anglais)

Lire la présentation que fait le Financial Stability Board de ce rapport (en anglais)

Pour aller plus loin sur la question de l'usage des nouvelles technologies dans les processus de régulation, lire le document de travail de Marie-Anne Frison-Roche: Analyse des blockchains au regard des usages qu'elles peuvent remplir et des fonctions que les officiers ministériels doivent assurer

Référence complète: CJUE, grande chambre, 6 octobre 2020,  Privacy International c/ Secretary of State for Foreign and Commonwealth Affairs, C-623/17. 

Lire l'arrêt

Lire le résumé de l'arrêt 

Lire les conclusions de l'avocat général

Lire la demande de décision préjudicielle présentée par le Investigatory Powers Tribunal - London (Royaume-Uni)

Référence complète des lignes directrices: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux "cookies et autres traceurs") et abrogeant la délibération n°2019-093 du 4 juillet 2019 

Référence complète de la recommendation: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs". 

Lire les lignes directrices

Lire la recommendation

Lire la présentation de cette recommendation et de ces lignes directrices par la CNIL

Référence générale: Frison-Roche, M.-A., Juge entre plateforme et régulateur: l'exemple actuel de l'affaire Uber au Royaume-Uni (Judge between Platform and Regulator: current example of Uber case in U.K.), Newsletter MAFR - Law, Compliance, Regulation, 29 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news:

Le 22 septembre 2017, Transport for London (TFL), régulateur des transports pour la ville de Londres, a refusé de renouveler la licence autorisant le transport de personnes qu'il avait accordé pour une durée de cinq ans, le 31 mai 2012, à l'entreprise Uber sous prétexte d'infractions pénales graves commises par les conducteurs de la plateforme. Le 26 juin 2018, la Westminster Court a prolongé la licence d'Uber pour une durée de quinze mois à condition que la plateforme préviennent les comportements répréhensibles de ses chauffeurs. Au terme de ces quinze mois, la TFL a de nouveau refusé de prolonger la licence d'Uber en raison de la persistance d'actes d'agressions envers les passagers. Uber a, une nouvelle fois, contesté cette décision devant la Westminster Court.

Dans son arrêt du 28 septembre 2020, la Cour constate que durant les quinze mois durant lesquels Uber s'était vu accordé une prolongation de sa licence à titre conditionnel par la Cour, la plateforme a mis en oeuvre de nombreuses mesures de prévention des agressions, que le niveau de maturité de ces mesures s'est même amélioré avec le temps et que le nombre de violations a été réduit sur la période (passant de 55 en 2018 à 4 en 2020). La Cour estime que la mise en oeuvre de ces actions est suffisante pour qu'Uber se voit accorder une nouvelle licence par le TFL. 

Nous pouvons retenir trois leçons de cette décision:

1. L'obligation de Compliance n'est pas une obligation de résultat mais une obligation de moyens, ce qui signifie qu'il est aberrant d'attendre de l'opérateur crucial (ici Uber) qu'il prévienne tous les cas d'agressions mais qu'il est pertinent de le juger sur l'effort qu'il déploie pour tenter de se rapprocher de cet idéal. D'autre part, l'opérateur crucial se doit d'être proactif, c'est à dire de sortir de la figure du sujet de droit passif qui applique les mesures édictées par le régulateur en matière de lutte contre les aggressions mais d'être acteur de la recherche du meilleur moyen de combattre les comportements abusif en intériorisant ce "but monumental".
2. Le juge apprécie la violation commise par ceux dont l'entreprise est responsable "en contexte", c'est-à-dire évalue la situation concrète de manière raisonnable.
3. C'est le juge qui décide en dernier ressort et, par conséquent, comme l'opérateur crucial, il se doit de se montrer "raisonnable". 

Consulter par ailleurs pour aller plus loin: 

• Le rapport de l'Assemblée nationale sur la question
• Frison-Roche, M.-A., Entreprise, Régulateur et Juge: penser la Compliance par ces trois personnages, 2018

Référence complète: Giuliani-Viallard, A., L'Europe de la compliance, au cœur du monde d'après. Pour une transformation de nos entreprises européennes et un essor de leur compétitivité à l'international, Question d'Europe, n°572, policy paper de la Fondation Robert Schuman, 28 septembre 2020, 3 p.

Lire le policy paper 

Référence complète: Frison-Roche, M.-A., L'impact économique du Droit: un nouveau rapport à ce propos et quid de la Régulation et de la Compliance? Trois leçons (The Economic Impact of Law: a new report about it. And what about Regulation & Compliance? 3 lessons), Newsletter MAFR - Law, Regulation, Compliance, 24 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Regulation, Compliance

Résumé de la news: 

Le 18 septembre 2020, le Comité économique et social européen (CESE) a publié un rapport sur l'impact de l'Etat de droit sur la croissance économique.

Le CESE définit l'Etat de droit comme l'obligation pour "all public powers act within the constraints laid down by law, in accordance with the values of democracy and fundamental rights, and under the control of independent and impartial courts". ("Toutes les puissances publiques d'agir dans les limites fixées par la loi, conformément aux valeurs démocratiques et aux droits fondamentaux, et sous le contrôle de tribunaux indépendants et impartiaux"). Selon le Comité, l'Etat de droit ainsi défini est propice et même nécessaire à une croissance économique durable principalement parce que l'instabilité des réglementations, l'absence de garantie des droits de propriété et du travail, la discrimination ou la non-application des contrats favorisent peu voire sont néfastes pour les investissements et les activités productives des agents économiques. Le CESE note d'ailleurs que les pays respectant l'Etat de droit croissent beaucoup plus vite que ceux qui ne le font pas. Le Comité insiste également sur l'effet destructeur de la corruption qui détruit les services publics, l'action publique et les institutions publiques à long terme ainsi que la confiance tout en augmentant les inégalités. 

Bien que le CESE approuve les actions de la Commission européenne pour faire progresser l'Etat de droit dans l'Union, il invite cependant celle-ci à poursuivre ses efforts en donnant notamment une place plus importante encore aux juridictions et en protégeant davantage la liberté des médias dans un contexte de progression des forces autocrates à l'Est de l'Europe. 

On peut tirer trois leçons de ce rapport:

1. L'intérêt commun des Etats membres de l'Union européenne à garantir l'Etat de droit. En effet, non seulement celui-ci est inscrit dans l'article 2 du TFUE et a été consacré par la jurisprudence de la CJUE mais il est également une condition du progrès économique. 
2. La lutte contre corruption doit faire l'objet d'un effort redoublé. Dans cette perspective, le Droit de la Compliance est à même d'offrir des outils juridiques innovants appropriés. 
3. A une définition du Droit de la Régulation et de la Compliance comme simple processus d'application mécanique des règles de droit, il est nécessaire de substituer une définition du Droit de la Régulation et de la Compliance fondée sur les notions de "but monumental" et de protection des personnes. Dans cette perspective, ces branches du droit s'avéreraient des outils puissants au service de la progression de l'Etat de droit dans l'espace européen.  

Référence complète: Cour constitutionnelle de Belgique, Décision du 24 septembre 2020 concernant le recours en annulation partielle de la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme et à la limitation de l'utilisation des espèces, n°114/2020

Lire l'arrêt

Lire la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme et à la limitation de l'utilisation des espèces

Référence complète: Frison-Roche, M.-A., Interrégulation: une manière d'établir un "protocole de coopération" entre les régulateurs. L'exemple de l'AMF et de l'AFA, (Interregulation: way of "cooperation protocol"​ between Regulatory Bodies. Example between French Financial Markets Authority and Anticorruption Agency), Newsletter MAFR - Law, Compliance, Regulation, 22 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news: 

Bien que le Droit de la Régulation soit né de la notion de "secteur", les interférences permanentes entre les secteurs ainsi que les interactions fréquentes entre certains secteurs et des questions plus générales communes à différents secteurs, rendent l'interrégulation nécessaire. Le Droit de la Compliance n'étant que le prolongement du Droit de la Régulation, ce mécanisme d'interrégulation est aussi nécessaire en Droit de la Compliance qu'en Droit de la Régulation.

Cette interrégulation peut emprunter de nombreuses voies légales telles que l'échange de lettres entre régulateurs, la formation d'un réseau de régulateurs et de superviseurs au niveau mondial ou au sujet de certaines questions spécifiques ou encore l'adoption d'un "protocole de coopération" comme l'ont fait l'AMF et l'AFA le 16 septembre 2020 pour renforcer leurs luttes respectives contre les manquements à la probité, les abus de marché et pour la protection des investisseurs. 

Ce protocole de coopération entre l'AFA et l'AMF s'est doté des objectifs suivants:

• Une méthodologie plus efficace concernant la recherche et l'analyse des manquements à la probité et des abus de marché. 
• Une prévention plus efficiente des manquements à la probité et des abus de marché.
• Une meilleure capacité à formuler des recommendations de nouvelles réglementations auprès du législateur. 
• Un suivi plus rigoureux des travaux internationaux sur le sujet. 
• Une information plus cohérente pour le public. 

Les régulateurs ne sont-ils pas les nouveaux instituteurs? 

Cette illustration d'une question juridique a été publiée dans la Newsletter MAFR - Law, Regulation & Compliance du 21 septembre 2020 sur LinkedIn.

Lire la news du 21 septembre 2020

Référence complète: Frison-Roche, M.-A., Régulation, Compliance et Cinéma: apprendre à propos de la régulation d'internet grâce à la série "criminels" (​Regulation, Compliance & Cinema: learning about Internet Regulation with the series "Criminals"​), Newsletter MAFR - Law, Compliance, Regulation, 21 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news: 

L'épisode 3 de la saison 2 de la version britannique de la série "Criminals" met en scène le personnage de Danielle. Danielle est un mère de famille qui a décidé de partir à la recherche de pédophiles agissant sur les réseaux sociaux en vue de les piéger et de révéler au monde leurs agissements. Danielle met en avant l'efficacité de son action contrairement à celle de la police et de la justice qu'elle juge improductive. Dans l'épisode, Danielle est accusé par la police de diffamation. Alors que les policiers tentent d'expliquer à Danielle l'importance d'utiliser une procédure régulière respectueuse de l'Etat de droit visant à prouver ses accusations, celle-ci fait de l'efficacité son seul principe. Selon elle, ses méthodes obtiennent des résultats (contrairement à celles de la police qui respectent les procédures) et ceux qu'elles accusent d'être des pédophiles ne méritent pas de droits à se défendre.

On peut retenir trois leçons de l'histoire de Danielle:

1. Si le Droit de la Compliance n'était qu'un simple processus d'application mécanique des règles de droit, alors l'Etat de droit n'aurait aucun droit de cité face au principe d'efficacité. Or, si le Droit de la Compliance est défini par ses "buts monumentaux" et que le respect de l'Etat de droit est érigé en "but monumental", alors efficacité et respect de l'Etat de droit deviennent compatibles et congruents. 
2. L'espace numérique se doit d'être discipliné par des entreprises numériques cruciales supervisées par des autorités publiques, comme c'est le cas en France et en Allemagne pour les discours de haine et les fausses informations. 
3. Le Droit de la Compliance, et le Droit en règle générale, doivent se montrer pédagogues envers les individus comme Danielle qui ne comprennent pas en quoi leur comportement peut être répréhensible contrairement à ce qu'ils s'imaginent. 

🌐suivre Marie-Anne Frison-Roche sur LinkedIn

🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence complète : M.-A. Frison-Roche, "Se tenir bien dans l'espace numérique", in Mélanges en l'honneur de Michel Vivant, Penser le droit de la pensée, Dalloz et Lexis Nexis, 2020, pp. 155-168.

____

📝Lire l'article

____

🚧Lire le document de travail sur lequel cet article est basé, enrichi de développements supplémentaires, de références techniques et de liens hypertextes

► Résumé de l'article : L'espace numérique est un des rares espaces non spécifiquement cadrés par le Droit, liberté qui a aussi pour grave conséquence d'offrir l'opportunité à ses acteurs de ne pas "se tenir bien", c'est-à-dire d'exprimer et de diffuser largement et immédiatement des pensées haineuses, lesquels demeuraient auparavant dans des cercles privés ou restreints. L'intimité du Droit et de la notion juridique de Personne en est atteinte : le numérique permet à des individus ou des organisations d'agir comme des personnages démultipliés et anonymes, acteurs numériques dépersonnalisés porteurs de comportements attentatoires à la dignité d'autrui.

Contre cela, le Droit de la Compliance offre une solution adéquate : internaliser dans les opérateurs numériques cruciaux la charge de tenir disciplinairement substantiellement l'espace numérique. L'espace numérique a été structuré par des entreprises puissantes à même d'y maintenir l'ordre. Parce que le Droit ne doit pas réduire l'espace digital à n'être qu'un simple marché neutre de prestations numériques, ces opérateurs cruciaux, comme les réseaux sociaux ou les moteurs de recherches doit être obligés de contrôler substantiellement les comportements. Il peut s'agir d'une obligation des internautes d'agir à visage découvert, politique de "l'identité réelle" contrôlée par les entreprises, et de respecter les droits d'autrui, droits intimes, dignité, droits de propriété intellectuelle. Dans leur fonction de régulation, les entreprises digitales cruciales doivent être supervisées par des Autorités publiques

Ainsi le Droit de la Compliance substantiellement défini est gardien de la personne comme "sujet de droit" dans l'espace digital, par le respect que les autres doivent en avoir, cet espace passant du statut d'espace libre à celui d'espace civilisé, dans lequel chacun est contraint de se tenir bien. 

______

► Consulter pour aller plus loin : 

• Frison-Roche, M.-A., 📓L'apport du Droit de la Compliance à la gouvernance d'Internet, 2019
• Frison-Roche, M.-A. (dir.), 📕Internet, un espace d'interrégulation, 2016

________

Référence complète: Agence Française Anticorruption, Département de l'appui aux acteurs économiques, La politique cadeaux et invitations dans les entreprises, les EPIC, les associations et les fondations, Guide pratique 2020, 11 septembre 2020, 14 p.

Lire le guide pratique

Référence complète: Frison-Roche, M.-A., Conflits d'intérêts & "portes tournantes": ce que l'Ombudsman européen a dit en mai 2020, l'autorité bancaire européenne manifestant son accord en août. Trois leçons (Conflict of interests & "revolving doors"​: what the European Ombudsman said in May 2020, the European Banking Authority agreed in August.Three lessons), Newsletter MAFR - Law, Compliance, Regulation, 7 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news: 

L'impartialité et l'indépendance des autorités de régulation et de supervision est conditionnée au fait que leurs membres n'aient aucun conflit d'intérêt avec le secteur qu'ils régulent ou supervisent. Une telle absence de conflits d'intérêt est nécessaire pour garantir un climat de confiance entre l'autorité en question et les opérateurs. Celle-ci suppose que les membres des autorités de régulation et de supervision ne cumulent pas des fonctions d'opérateur et de régulateur/superviseur durant mais aussi après leur passage dans les autorités de régulation/supervision car l'anticipation d'une embauche prochaine peut influencer les décisions présentes. 

Le 2 août 2019, le directeur exécutif de l'Autorité Bancaire Européenne (ABE) a informé l'autorité dont il était membre de son souhait de devenir PDG de l'Association pour les marchés financiers en Europe (AFME), lobby du secteur financier. L'ABE a approuvé cette perspective. Cependant, "Change finance", une coalition civile, a saisi le médiateur européen faisant valoir qu'une telle réorientation professionnelle créait un conflit d'intérêt inévitable. Le médiateur européen a réagi le 7 mai 2020 par une recommendation en affirmant que bien que l'ABE ait pris des mesures préventives conséquentes, celles-ci ne s'avéraient cependant pas suffisantes au regard des risques encourus. Au sein de cette recommendation, le médiateur européen a également formulé des propositions générales ayant vocation à gérer les risques de conflits d'intérêt à l'avenir:

• L'interdiction aux cadres supérieurs d'occuper certains postes susceptibles de constituer un conflit d'intérêt avec leur fonction présente, pour une durée de deux ans. 
• L'information des cadres supérieurs et des candidats aux postes de cadres supérieurs des règles en vigueur. 
• La mise en place de procédures internes visant à bloquer immédiatement l'accès aux informations confidentielles au membre de l'autorité de régulation/supervision ayant notifié son souhait d'occuper ultérieurement un poste dont on sait qu'il constitue un conflit d'intérêt avéré avec son poste actuel. 

Dans une lettre du 28 août 2020, le président de l'ABE a répondu au médiateur européen qu'il acceptait les remarques et les propositions du médiateur européen. 

De ce cas particulier, on peut tirer trois leçons:

1. La difficile articulation entre indépendance/impartialité (fondant la confiance) et l'expertise du régulateur/superviseur. Le médiateur européen et l'ABE ont donc convenu qu'une interdiction d'occuper certains postes, si elle devait existait, devait être limitée dans le temps.
2. La nécessité que chacun puisse anticiper correctement les règles.
3. La nécessité de préserver la sécurité juridique.

Référence complète: Frison-Roche, M.-A., Compliance by design, une arme nouvelle? L'opinion de Facebook à propos des nouvelles dispositions techniques d'Apple pour protéger les données personnelles (Compliance by Design, a new weapon? Opinion of Facebook about Apple new technical dispositions on Personal Data protection), Newsletter MAFR - Law, Compliance, Regulation, 31 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news:

Les données personnelles, en tant qu'elles sont des informations, sont un outil de Compliance. Elle représentent une ressource précieuse pour les entreprises qui doivent mettre en oeuvre un plan de vigilance afin de prévenir la corruption, le blanchiment d'argent ou le financement du terrorisme, par exemples. C'est la raison pour laquelle, les données personnelles sont la pierre angulaire des dispositifs de "Compliance by design". Cependant, l'utilisation de ces données ne peut pas dédouaner l'entreprise de son obligation simultanée de protéger ces mêmes données personnelles, ce qui est également un "but monumental" majeur du Droit de la Compliance. 

Afin de pouvoir exploiter ses données dans un objectif de Compliance tout en les protégeant, l'entreprise numérique Apple a par exemple adopté de nouvelles dispositions telles que l'exploitation de l'IDentifier For Advisers (IDFA) intégré à l'iPad ou à l'iPhone et largement utilisé par les entreprises de publicité ciblée soit conditionnée au consentement du consommateur.  

Facebook a vivement réagi à cette nouvelle disposition d'Apple en expliquant que de telles mesures allaient profondément restreindre l'accès des données aux démarcheurs publicitaires qui verraient ainsi leurs activités limitées. Facebook soupçonne Apple de vouloir bloquer l'accès aux autres entreprises publicitaires dans le but de développer son propre outil publicitaire. Facebook a assuré aux démarcheurs qui travaillaient avec lui qu'ils ne prendraient pas, pour sa part, de telles mesures et qu'il privilégiait toujours la consultation du secteur publicitaire avant ses prises de décisions afin de concilier au mieux les intérêts parfois divergents en présence. 

On peut dors-et-déjà formuler quelques remarques:

• Le RGPD imposant aux entreprises numériques qu'elles garantissent un niveau de protection minimum des données personnelles ne s'applique pas aux Etats-Unis. Il est donc plus plausible qu'Apple ait agit par Responsabilité Sociale des Entreprises (RSE), plus que par obligation légale.
• Le mode de régulation utilisé ici est la "régulation conversationnelle" théorisée par Julia Black. Effectivement, les régulateurs laissent les forces en présence "converser".
• Cette "régulation conversationnelle" ne semble pas très efficace ici et une intervention des autorités administratives ou des juges pourrait se justifier par le biais du Droit de la Concurrence, de la Régulation ou de la Compliance, sachant que le Droit de la Concurrence privilégiera le droit d'accès à l'information et le Droit de la Régulation ou de la Compliance davantage le droit à la vie privée.

Tout le paradoxe du Droit de la Compliance réside donc dans l'équilibre entre circulation de l'information et secret.

Référence complète: Frison-Roche, M.-A., "Interrégulation" entre les systèmes de paiements et la protection des données personnelles: comment organiser cette interaction? ("Interregulation"​ between Payments System and Personal Data Protection: how to organize this "interplay"​?), Newsletter MAFR - Law, Compliance, Regulation, 27 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Le Droit de la Régulation, afin de reconnaître et de tirer les conséquences de la spécificité de certains objets, a au départ été construit autour de la notion de secteur technique bien que la délimitation de ceux-ci relève en partie d'un choix politique. Mais, dans les faits, il existe de multiples points de contact entre ces secteurs, les acteurs se déplaçant de l'un à l'autre tout comme certains objets. La solution régulatoire est donc d'enjamber certaines frontières techniques par la méthodologie de l'interrégulation qui est par ailleurs la seule à permettre la régulation de certains phénomènes dépassant la notion de secteur et relevant donc du Droit de la Compliance.

Cette news prend l'exemple des entreprises fournissant de nouveaux services de paiement. Afin qu'elles puissent délivrer ces services en question, ces entreprises ont besoin d'accéder aux comptes bancaires des personnes concernées et donc à des données personnelles à caractère très sensibles. La régulation d'une telle configuration nécessite donc une coopération entre le régulateur bancaire et le régulateur des données personnelles. La législation n'étant pas suffisante pour organiser en Ex Ante cette interrégulation, l'European Data Protection Board (EDPB et régulateur européen des données personnelles) a publié des lignes directrices le 17 juillet 2020 sur la manière dont elle concevait l'articulation entre le PSD2 (directive européenne sur les services de paiement) et le RGPD (Règlement Général pour la Protection des Données) et annonçait qu'elle comptait élargir le cercle de ces interlocuteurs pour opérer cette interrégulation. Une telle initiative de la part de l'EDPB se justifie par l'incertitude quant à la manière d'interpréter ces deux textes et de les articuler l'un avec l'autre. 

Référence complète: Frison-Roche, M.-A., Difficulté de la Compliance dans le système d'auto-régulation: exemple des réunions de l'été 2020 de l'OPEP à propos de la "conformité" pour la stabilité des marchés du pétrole (Difficulty of Compliance in Self-Regulation system: example of the Summer 2020 meetings of OPEC about the "conformity"​ for Oil Market Stability​), Newsletter MAFR - Law, Compliance, Regulation, 26 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

La production mondiale de pétrole brut est largement coordonnée par l'Organisation des Pays Exportateurs de Pétrole (OPEP) et en particulier par son Comité Ministériel de Suivi (JMMC). Le 15 juillet 2020, ce Comité s'est réuni une première fois pour décider de la réduction de la production mondiale de pétrole brut afin de maintenir une certaine stabilité des prix dans un contexte de demande réduite en raison de la pandémie de COVID-19.

Cependant, une telle stabilité ne peut être maintenue que si chacun des pays membre de l'OPEP respecte cette décision et baisse effectivement son niveau de production. Cette réunion du 15 juillet 2020 avait donc également pour objectif d'obtenir la "conformité" de ses membres . Afin d'obtenir cette conformité, le JMMC a donc déclaré qu'elle utiliserait un outil de "name and shame", blâmant les pays n'ayant pas respecté la déclaration du Comité et encensant ceux qui l'auront appliqué. Une seconde réunion, le 19 août 2020, a visé à rappeler aux pays n'ayant pas suffisamment baissé leur volume de production leurs obligations et à les exhorter à se conformer avant le 28 août. 

On peut noter deux choses:

• Le terme utilisé par le Comité est "conformité" et non "compliance", ce qui suppose moins une adhésion à des "buts monumentaux que le respect mécanique de règles formelles.
• Dans un système d'auto-régulation où il n'est pas censé y avoir besoin de "conformité", la nécessité de celle-ci est un indice que cette auto-régulation fonctionne mal.

Référence complète: Frison-Roche, M.-A., Le "droit à l'oubli" toujours en expansion: un oxymore légitime dans le Droit de la Compliance construit sur l'information. L'exemple de la protection des survivants du cancer (The always in expansion "Right to be Forgotten"​: a legitimate Oxymore in Compliance Law built on Information. Example of​ Cancer Survivors Protection), Newsletter MAFR - Law, Compliance, Regulation, 25 août 2020 

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Le "droit à l'oubli" est une invention de la Cour de Justice de l'Union européenne lors de l'affaire Google Spain en 2014. Il implique que les entreprises numériques bloque l'accès aux données personnelles d'un individu lorsque celui-ci le demande. Ce "droit à l'oubli", qui permet d'imposer le secret au tiers a largement été généralisé par le RGPD adopté en 2016. Ce nouveau droit subjectif fondamental est un droit à la fois très politique et très européen. Les Etats-Unis qui, contrairement à l'Europe, n'ont pas fait l'expérience du nazisme, lie le "droit à l'oubli" à la protection du consommateur, conception qui conduit notamment le California Consumer Privacy Act  adopté en 2018 à lier ce droit à une situation d'absence  de nécessité de ces données pour l'entreprise qui les a obtenues.

En Europe, cette volonté de protéger directement le personnage accroît au contraire la portée d'un tel droit subjectif. Ainsi, en France et au Luxembourg, depuis 2020, une personne ayant été malade d'un cancer peut donc demander à ce qu'une telle information ne soit pas accessibles parmi les données de santé, notamment pas aux compagnies d'assurance qui les manient dans leur  calcul des risques pour fixer le montant des primes. Les Pays-Bas feront de même en 2021 pour lutter contre la discrimination entre les clients des banques et des assureurs.

Le "but monumental" n'est ainsi plus tant ici la protection des libertés individuelles que la protection de la personne vulnérable, qui est par ailleurs la clef de voûte d'un Droit de la Compliance équilibrant tantôt interdiction de faire circuler l'information (comme ici) et tantôt obligation de faire circuler l'information (dans d'autre cas, où l'alerte doit être donnée) suivant que les personnes vulnérables sont protégées soit par l'un soit par l'autre. 

Référence générale: Frison-Roche, M.-A., Le contrôle par le Régulateur des plans d'investissement des gestionnaires d'infrastructures essentielles : l'exemple du réseau électrique et la notion de "doctrine", (The control by regulator of the essential infrastructure manager's investment plan: example of electric network and the notion of "doctrine"), Newsletter MAFR - Law, Compliance, Regulation, 24 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Le 31 juillet 2020, La Commission de Régulation de l'Energie (CRE) a examiné le plan d'investissement du gestionnaire du réseau électrique français RTE comme il le fait chaque année. Ce plan d'investissement est un document économique mais il contient également des finalités sociétales, en particulier d'adapter le réseau d'électricité en vue d'intégrer les énergies renouvelables. 

Le contrôle de la CRE n'est pas qu'un contrôle financier. L'opérateur crucial qu'est RTE est libre de décider la manière dont il souhaite gérer son budget. La CRE ne fait pas que formuler des conseils sur le plan financier en recommandant par exemple d'être davantage flexible dans ses stratégies financières. Le véritable contrôle de la CRE concerne les orientations générales du plan d'investissement, la méthodologie de l'analyse des besoins et les choix d'investissement de l'opérateur crucial devant être alignés sur ceux du régulateur. 

Un tel contrôle donne lieu à l'émergence d'une "doctrine d'investissement" du côté de l'opérateur crucial, mélangeant ses propres choix et les lignes directrices du Régulateur qui le supervise. Au-delà de cela, l'élaboration du plan d'investissement relève d'une véritable corédaction entre le Régulateur et l'entreprise qui discutent ensemble, échangent des points de vue et des méthodes . Une telle méthode de travail, exprimant une sorte de corégulation, pourrait également s'installer dans d'autres secteurs. 

_____

► Référence complète : Dreyfuss, S., Remplacer la culture de la corruption par une culture de la compliance : l’Europe prend ses responsabilités pour son propre avenir, Le Grand Continent, août 2020. 

____

📝 Lire l'article. 

Référence complète: Frison-Roche, M.-A., La coordination entre les régulateurs locaux peut-elle remplacer un régulateur centralisé? L'exemple de l'organisation européenne du principe de l'Internet libre (Can Coordination between local Regulators replace a unique centralized Regulator? Example of the European organisation of the Open Internet Principle), Newsletter MAFR - Law, Compliance, Regulation, 18 août 2020

Lire, par abonnement gratuit, les autres news de la Newsletter MAFR - Law, Compliance, Regulation

Pour aller plus loin, lire l'article de Marie-Anne Frison-Roche: L'hypothèse de l'interrégulation 

Résumé de la news

Le principe de "l'internet ouvert" consacré par le règlement européen du 30 avril 2016 garantit un accès non discriminatoire aux contenus et aux services d'internet. Cependant, il n'existe pas de régulateur européen pour mettre en oeuvre un tel principe. Est-il possible d'assurer l'effectivité du principe de l'internet ouvert sans un régulateur central associé? 

Le 11 juin 2020, l'ORECE (l'organe des régulateurs européens des communications électroniques) a adopté des lignes directrices concernant l'application du principe de l'Internet ouvert. L'ORECE n'est pas un régulateur européen mais un réseau d'autorités de régulations nationales visant à coordonner leurs actions. Cet organe n'est que consultatif mais ses recommendations sont prises en compte par les autorités nationales qui disposent quant à elles de pouvoirs juridiques approfondis, comme le signale le rapport du cabinet de conseil Osborne-Clarke à propos de la mise en oeuvre technique du principe européen de l'internet ouvert au niveau national.

Il n'est donc pas nécessaire d'avoir un régulateur central pour assurer l'effectivité d'un principe à partir du moment où il existe un réseau de régulateurs locaux capable de coordonner leurs actions par le biais du droit souple.   

Référence complète: Frison-Roche, M.-A., La cartographie des risques: est-elle juridiquement différente lorsqu'elle est faite par les entités de régulation plutôt que par les entreprises régulées? (Risk Mapping: is it legally different when it is made by Regulatory Bodies or by Regulated Enterprises?),  in Newsletter MAFR - Law, Compliance, Regulation, 17 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter, MAFR - Law, Compliance, Regulation

Résumé de la news

Chaque année, l'Autorité des marchés financiers, la Banque centrale européenne ou l'Agence française anti-corruption publient des cartographies des risques. A première vue, les cartographies des risques établies par le régulateur ont vocation à aider à la fois le régulateur et l'entreprise régulée à faire face à ces risques en les anticipant. Ces documents ne seraient donc qu'une aide apportée aux entreprises dans leur mission de compliance et en aucun cas une injonction de la part du régulateur à prendre en compte les risques qu'il met en avant. 

Cependant, la loi oblige les entreprises a constitué leur propre cartographie des risques sous peine de sanction. Dès lors que le régulateur a auparavant publié sa propre cartographie des risques, les entreprises, obligée de rédiger la leur, peuvent-elles s'en écarter? Si l'entreprise suit la cartographie publiée par le régulateur, peut-il s'en prémunir au cas où on l'accuserait de ne pas avoir remplie ses obligations de compliance? Au contraire, si l'opérateur ne suit pas la cartographie des risques du régulateur, cela peut-il lui être reproché? Formellement, les cartographies des risques des régulateurs ne s'accompagnent pas d'une injonction à en tenir compte mais, comme chacun sait, toute recommendation d'un régulateur ou d'un superviseur doit être prise en compte.

La solution juridique pourrait ici être la mise en place d'un système de "comply or explain" qui signifierait que si l'entreprise décide de ne pas suivre la cartographie des risques établie par le régulateur, elle doit être en mesure de pouvoir justifier ce choix. 

Pour aller plus loin, lire:

• Frison-Roche, M.-A., La théorie juridique de la cartographie des risques, centre du Droit de la Compliance, working paper, 2020 (en anglais)