Matières à Réflexions

►Référence complète : A. Maymont. ”Le droit de la compliance au secours de la stabilité financière”. Revue Banque, Revue Banque édition, 2020, pp. 50-53. 

____

►Résumé de l'article : L'article reprend la définition du Droit de la Compliance comme ce qui prévient les risques de systèmes, notamment les "risques d'instabilité" qui affectent tout particulièrement les risques financiers, lesquels sont désormais principalement extra-financiers, notamment les cyber risques et les risques environnementaux et climatiques.

Il rappelle que le Droit de la Compliance incorpore le principe juridique de stabilité et confie aux autorités publiques le pouvoir d'inférer dans les contrats pour donner primauté à celui-ci. En matière de stabilité financière, c'est notamment l'ACPR et l'AMF qui le font.

Il souligne que pour être efficace, les régulateurs incitent les entreprises à coopérer. Leur action se justifie par l'ordre public financier, lequel évolue, le principe juridique de stabilité permet aux Autorités d'écarter les règles juridiques ordinaires, notamment la liberté contractuelle des banquiers, l'interdiction des ventes à découvert pendant le Covid étant une illustration de cela. 

________

Référence complète: Agence Française Anticorruption, Département de l'appui aux acteurs économiques, La politique cadeaux et invitations dans les entreprises, les EPIC, les associations et les fondations, Guide pratique 2020, 11 septembre 2020, 14 p.

Lire le guide pratique

Ce document de travail est la base d'un article publié au Recueil Dalloz dans les Chroniques MAFR  Droit de la Compliance. 

Lire les autres chroniques parues chez Dalloz dans la rubrique Chroniques MAFR Droit de la Compliance

____

Référence complète: Frison-Roche, M.-A., Liberté & médias: quand le "but" réel de la régulation italienne des médias n'est pas la protection du pluralisme, la liberté d'établissement prévaut (CJUE, 3 Sept.2020,Vivendi) (Freedom&Media: when Italian Media Regulation's real "goal"​ is not Pluralism Protection, Freedom of Establishment prevails (CJEU, 3 Sept.2020,Vivendi)), Newsletter MAFR - Law, Regulation, Compliance, 9 septembre 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Regulation, Compliance

Résumé de la news

Le secteur des médias est organisé autour d'un équilibre entre le principe de concurrence et d'autres soucis dont fait partie le pluralisme de l'information. Normalement, la loi de la concurrence en rendant accessible le marché à de nombreux concurrents assure le pluralisme de l'information. Mais, tel n'est pas le cas si un opérateur acquiert un pouvoir de marché excessif, faisant courir un risque non seulement pour la concurrence mais aussi pour le pluralisme de l'information. C'est la raison pour laquelle le système juridique italien interdit la constitution d'un opérateur regroupant plus de 40% des revenus totaux générés par le secteur des médias ou plus de 10% des revenus totaux générés par le secteur de la communication italien. 

En 2016, le groupe de médias français Vivendi a acquis plus de 28% des actions du groupe Mediaset et près de 30% de son droit de vote. L'autorité italienne de régulation des communication, saisie par Mediaset a exhorté en 2017 Vivendi à mettre un terme à ses participations au groupe Mediaset. Vivendi a contesté cette décision devant le tribunal administratif régional qui lui-même s'est référé par voie de question préjudicielle à la Cour de Justice de l'Union européenne afin de savoir si la liberté d'établissement pouvait légitimement être écartée au profit du pluralisme de l'information dans ce cas concret. La Cour de justice a répondu, dans un arrêt du 3 septembre 2020, que la restriction de la liberté d'établissement peut en principe être justifiée par un objectif d'intérêt général tel que la protection du pluralisme de l'information mais que dans ce cas concret, cell-ci n'est pas justifiée puisque le fait qu'une entreprise s'engage dans la transmission de contenus ne lui confère pas nécessairement le pouvoir de contrôler la production desdits contenus. 

On peut tirer trois leçons de ce cas: 

1. La Cour précise que bien que le principe est la liberté d'établissement, il est possible que celui-ci soit écarté pour protéger le pluralisme de l'information à condition que l'Etat membre en question ne se serve pas de ce pouvoir légitime pour constituer un monopole politique, la charge de preuve incombant à celui qui attaque la législation nationale et non à l'Etat membre. 
2. La Cour distingue transmission de contenu et production de contenu et explique que si l'Etat membre rejette cette distinction, la charge lui incombe de démontrer les liens concrets entre ces deux activités.
3. Ce cas montre que le pouvoir de répartir les places respectives du "principe" et de "l'exception" revient toujours aux juges. 

Référence complète: Frison-Roche, M.-A., Conflits d'intérêts & "portes tournantes": ce que l'Ombudsman européen a dit en mai 2020, l'autorité bancaire européenne manifestant son accord en août. Trois leçons (Conflict of interests & "revolving doors"​: what the European Ombudsman said in May 2020, the European Banking Authority agreed in August.Three lessons), Newsletter MAFR - Law, Compliance, Regulation, 7 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news: 

L'impartialité et l'indépendance des autorités de régulation et de supervision est conditionnée au fait que leurs membres n'aient aucun conflit d'intérêt avec le secteur qu'ils régulent ou supervisent. Une telle absence de conflits d'intérêt est nécessaire pour garantir un climat de confiance entre l'autorité en question et les opérateurs. Celle-ci suppose que les membres des autorités de régulation et de supervision ne cumulent pas des fonctions d'opérateur et de régulateur/superviseur durant mais aussi après leur passage dans les autorités de régulation/supervision car l'anticipation d'une embauche prochaine peut influencer les décisions présentes. 

Le 2 août 2019, le directeur exécutif de l'Autorité Bancaire Européenne (ABE) a informé l'autorité dont il était membre de son souhait de devenir PDG de l'Association pour les marchés financiers en Europe (AFME), lobby du secteur financier. L'ABE a approuvé cette perspective. Cependant, "Change finance", une coalition civile, a saisi le médiateur européen faisant valoir qu'une telle réorientation professionnelle créait un conflit d'intérêt inévitable. Le médiateur européen a réagi le 7 mai 2020 par une recommendation en affirmant que bien que l'ABE ait pris des mesures préventives conséquentes, celles-ci ne s'avéraient cependant pas suffisantes au regard des risques encourus. Au sein de cette recommendation, le médiateur européen a également formulé des propositions générales ayant vocation à gérer les risques de conflits d'intérêt à l'avenir:

• L'interdiction aux cadres supérieurs d'occuper certains postes susceptibles de constituer un conflit d'intérêt avec leur fonction présente, pour une durée de deux ans. 
• L'information des cadres supérieurs et des candidats aux postes de cadres supérieurs des règles en vigueur. 
• La mise en place de procédures internes visant à bloquer immédiatement l'accès aux informations confidentielles au membre de l'autorité de régulation/supervision ayant notifié son souhait d'occuper ultérieurement un poste dont on sait qu'il constitue un conflit d'intérêt avéré avec son poste actuel. 

Dans une lettre du 28 août 2020, le président de l'ABE a répondu au médiateur européen qu'il acceptait les remarques et les propositions du médiateur européen. 

De ce cas particulier, on peut tirer trois leçons:

1. La difficile articulation entre indépendance/impartialité (fondant la confiance) et l'expertise du régulateur/superviseur. Le médiateur européen et l'ABE ont donc convenu qu'une interdiction d'occuper certains postes, si elle devait existait, devait être limitée dans le temps.
2. La nécessité que chacun puisse anticiper correctement les règles.
3. La nécessité de préserver la sécurité juridique.

► Référence complète : N. Ida, "La charge de la preuve en matière de compliance : réflexion à partir de la décision Imerys", Rev. sociétés, 2020, pp. 464-470

____

► Résumé de l'article (fait par l'auteur) : "La commission des sanctions de l'Agence française anticorruption a rendu sa deuxième décision de sanction le 7 février 2020 dans l'affaire Imerys. À cette occasion, elle a rappelé que la vraisemblance du manquement reproché à la société mise en cause suffit à renverser la charge de la preuve sur cette dernière, qui est alors tenue de démontrer qu'elle a respecté ses obligations. Cette solution est originale en ce qu'elle déroge au principe d'attribution de la charge de la preuve à l'accusation. Elle se justifie néanmoins dans le contexte particulier du droit de la compliance, en raison de la plus grande aptitude probatoire des entreprises assujetties aux obligations de prévention de la corruption, qui sont légalement tenues de se préconstituer des preuves par le biais de documents imposés.".

____

🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche

________

Référence complète: Frison-Roche, M.-A., Compliance & Droit souple de la régulation, sécurité juridique et coopération: exemple de la nouvelle ligne directrice de U.S. Financial Crimes Enforcement Network sur la lutte contre le blanchiment d'argent et le financement du terrorisme (Compliance & Regulatory Soft Law, legal Certainty and Cooperation: example of the U.S. Financial Crimes Enforcement Network new Guidelines on AML/FT), Newsletter MAFR - Law, Compliance, Regulation, 2 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Le Financial Crimes Enforcement Network (FinCEN) est un organe, dépendant du Trésor américain, en charge de lutter contre la criminalité financière et particulièrement contre le blanchiment d'argent et le financement du terrorisme. Pour cela, il possède de larges pouvoirs de contrôle et de sanction. 

En août 2020, le FinCEN a publié un document nommé "Statement on Enforcement" ayant vocation a expliciter ces méthodes de contrôle et de sanction. Il y dévoile ce que risquent les entreprises en cas d'infraction (de la simple lettre d'avertissement à la poursuite pénale en passant par l'amende financière) ainsi que les différents critères sur lesquels se fondent le FinCEN pour infliger une sanction plutôt qu'une autre aux entreprises. Parmi ces critères on retrouve par exemples la nature et la gravité des violations commises ou l'ampleur des antécédents de l'entreprise auprès de la FinCEN ou d'autres autorités voisines mais également la mise en place de programmes de compliance ou la qualité et l'étendue de la coopération avec le FinCEN au cours de l'enquête).  

L'un des objectifs de la publication de ce document d'information est d'obtenir la coopération des entreprises en créant une relation de confiance entre régulateur et entreprise régulée. Cependant, il est très difficile de demander aux entreprises de coopérer et de fournir des informations si elles peuvent craindre que ces mêmes informations puissent ultérieurement être utilisées comme preuve contre elles par le FinCEN.

Un autre objectif est de renforcer la sécurité juridique et la transparence. Toutefois, la déclaration de la FinCEN ne paraît pas l'engager, ne se présentant pas comme une charte mais comme une simple déclaration. Effectivement, la liste des sanctions possibles ainsi que celle des critères d'appréciation utilisées par le FinCEN sont loin d'être exhaustives et peuvent être complétées à tout moment par le FinCEN in concreto sans même qu'il ait besoin de se justifier.  

Référence complète: Frison-Roche, M.-A., Pour réguler ou superviser, des compétences techniques sont requises: exemple de la création du "Pôle d'expertise de la régulation numérique" (For regulating or supervising, technical competence is required: example of the French creation of the "Pôle d'expertise de la régulation numérique"​), Newsletter MAFR - Law, Regulation, Compliance, 2 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Regulation, Compliance

Résumé de la news

Par un décret du 31 août 2020, le gouvernement a créé un service à compétence nationale dénommé "Pôle d'expertise de la régulation numérique (PEReN)". Celui-ci a pour but de fournir aux services de l'Etat une expertise technique dans les domaines de l'informatique, de la science des données et des processus algorithmiques afin de les assister dans leur rôle de contrôle, d'enquêtes ou d'étude. L'objectif est de favoriser le partage d'information entre représentants de la recherche et les services de l'Etat en charge de réguler le numérique. 

Comme son acronyme l'indique, ce pôle d'expertise a vocation à manifester de la constance dans un monde en perpétuel changement. Par ailleurs, en plus d'être à compétence nationale, cet organisme s'inscrit dans une dimension transversale, son décret de création ayant été signé à la fois par le Premier ministre, le ministre de l'Economie, le ministre de la Culture et le ministre de la Transition Numérique. La création d'un tel pôle témoigne de la prise de conscience du gouvernement de l'importance de la compétence technique dans la régulation du numérique et de la nécessité de centraliser ces expertises en un seul et même organe. 

Toutefois, comme l'indique le décret, ce pôle d'expertise ne pourra être consulté que par les "services de l'Etat", ce qui exclut les régulateurs qui sont des autorités administratives indépendantes de l'Etat et qui pourraient mettre le pôle d'expertise en conflit d'intérêt s'ils venaient à le saisir et les tribunaux alors même que ceux-ci sont appelés à jouer un rôle central dans la régulation du numérique et qu'ils sont habilités à requérir l'avis du régulateur sur certains dossiers. Mais, si les régulateurs ne peuvent saisir le PEReN, à qui bénéficie-t-il mis à part au législateur et à quelques fonctionnaires?

Il aurait donc mieux fallut que ce pôle d'expertise soit placé sous la direction des organes de régulation et de supervision, ce qui lui aurait permis de pouvoir être consulté à la fois par les régulateurs et par les juges, tous deux acteurs de premier plan de la régulation du numérique. 

Référence complète: Frison-Roche, M.-A., Compliance by design, une arme nouvelle? L'opinion de Facebook à propos des nouvelles dispositions techniques d'Apple pour protéger les données personnelles (Compliance by Design, a new weapon? Opinion of Facebook about Apple new technical dispositions on Personal Data protection), Newsletter MAFR - Law, Compliance, Regulation, 31 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news:

Les données personnelles, en tant qu'elles sont des informations, sont un outil de Compliance. Elle représentent une ressource précieuse pour les entreprises qui doivent mettre en oeuvre un plan de vigilance afin de prévenir la corruption, le blanchiment d'argent ou le financement du terrorisme, par exemples. C'est la raison pour laquelle, les données personnelles sont la pierre angulaire des dispositifs de "Compliance by design". Cependant, l'utilisation de ces données ne peut pas dédouaner l'entreprise de son obligation simultanée de protéger ces mêmes données personnelles, ce qui est également un "but monumental" majeur du Droit de la Compliance. 

Afin de pouvoir exploiter ses données dans un objectif de Compliance tout en les protégeant, l'entreprise numérique Apple a par exemple adopté de nouvelles dispositions telles que l'exploitation de l'IDentifier For Advisers (IDFA) intégré à l'iPad ou à l'iPhone et largement utilisé par les entreprises de publicité ciblée soit conditionnée au consentement du consommateur.  

Facebook a vivement réagi à cette nouvelle disposition d'Apple en expliquant que de telles mesures allaient profondément restreindre l'accès des données aux démarcheurs publicitaires qui verraient ainsi leurs activités limitées. Facebook soupçonne Apple de vouloir bloquer l'accès aux autres entreprises publicitaires dans le but de développer son propre outil publicitaire. Facebook a assuré aux démarcheurs qui travaillaient avec lui qu'ils ne prendraient pas, pour sa part, de telles mesures et qu'il privilégiait toujours la consultation du secteur publicitaire avant ses prises de décisions afin de concilier au mieux les intérêts parfois divergents en présence. 

On peut dors-et-déjà formuler quelques remarques:

• Le RGPD imposant aux entreprises numériques qu'elles garantissent un niveau de protection minimum des données personnelles ne s'applique pas aux Etats-Unis. Il est donc plus plausible qu'Apple ait agit par Responsabilité Sociale des Entreprises (RSE), plus que par obligation légale.
• Le mode de régulation utilisé ici est la "régulation conversationnelle" théorisée par Julia Black. Effectivement, les régulateurs laissent les forces en présence "converser".
• Cette "régulation conversationnelle" ne semble pas très efficace ici et une intervention des autorités administratives ou des juges pourrait se justifier par le biais du Droit de la Concurrence, de la Régulation ou de la Compliance, sachant que le Droit de la Concurrence privilégiera le droit d'accès à l'information et le Droit de la Régulation ou de la Compliance davantage le droit à la vie privée.

Tout le paradoxe du Droit de la Compliance réside donc dans l'équilibre entre circulation de l'information et secret.

Référence complète: Frison-Roche, M.-A., "Interrégulation" entre les systèmes de paiements et la protection des données personnelles: comment organiser cette interaction? ("Interregulation"​ between Payments System and Personal Data Protection: how to organize this "interplay"​?), Newsletter MAFR - Law, Compliance, Regulation, 27 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Le Droit de la Régulation, afin de reconnaître et de tirer les conséquences de la spécificité de certains objets, a au départ été construit autour de la notion de secteur technique bien que la délimitation de ceux-ci relève en partie d'un choix politique. Mais, dans les faits, il existe de multiples points de contact entre ces secteurs, les acteurs se déplaçant de l'un à l'autre tout comme certains objets. La solution régulatoire est donc d'enjamber certaines frontières techniques par la méthodologie de l'interrégulation qui est par ailleurs la seule à permettre la régulation de certains phénomènes dépassant la notion de secteur et relevant donc du Droit de la Compliance.

Cette news prend l'exemple des entreprises fournissant de nouveaux services de paiement. Afin qu'elles puissent délivrer ces services en question, ces entreprises ont besoin d'accéder aux comptes bancaires des personnes concernées et donc à des données personnelles à caractère très sensibles. La régulation d'une telle configuration nécessite donc une coopération entre le régulateur bancaire et le régulateur des données personnelles. La législation n'étant pas suffisante pour organiser en Ex Ante cette interrégulation, l'European Data Protection Board (EDPB et régulateur européen des données personnelles) a publié des lignes directrices le 17 juillet 2020 sur la manière dont elle concevait l'articulation entre le PSD2 (directive européenne sur les services de paiement) et le RGPD (Règlement Général pour la Protection des Données) et annonçait qu'elle comptait élargir le cercle de ces interlocuteurs pour opérer cette interrégulation. Une telle initiative de la part de l'EDPB se justifie par l'incertitude quant à la manière d'interpréter ces deux textes et de les articuler l'un avec l'autre. 

Référence complète: Frison-Roche, M.-A., Difficulté de la Compliance dans le système d'auto-régulation: exemple des réunions de l'été 2020 de l'OPEP à propos de la "conformité" pour la stabilité des marchés du pétrole (Difficulty of Compliance in Self-Regulation system: example of the Summer 2020 meetings of OPEC about the "conformity"​ for Oil Market Stability​), Newsletter MAFR - Law, Compliance, Regulation, 26 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

La production mondiale de pétrole brut est largement coordonnée par l'Organisation des Pays Exportateurs de Pétrole (OPEP) et en particulier par son Comité Ministériel de Suivi (JMMC). Le 15 juillet 2020, ce Comité s'est réuni une première fois pour décider de la réduction de la production mondiale de pétrole brut afin de maintenir une certaine stabilité des prix dans un contexte de demande réduite en raison de la pandémie de COVID-19.

Cependant, une telle stabilité ne peut être maintenue que si chacun des pays membre de l'OPEP respecte cette décision et baisse effectivement son niveau de production. Cette réunion du 15 juillet 2020 avait donc également pour objectif d'obtenir la "conformité" de ses membres . Afin d'obtenir cette conformité, le JMMC a donc déclaré qu'elle utiliserait un outil de "name and shame", blâmant les pays n'ayant pas respecté la déclaration du Comité et encensant ceux qui l'auront appliqué. Une seconde réunion, le 19 août 2020, a visé à rappeler aux pays n'ayant pas suffisamment baissé leur volume de production leurs obligations et à les exhorter à se conformer avant le 28 août. 

On peut noter deux choses:

• Le terme utilisé par le Comité est "conformité" et non "compliance", ce qui suppose moins une adhésion à des "buts monumentaux que le respect mécanique de règles formelles.
• Dans un système d'auto-régulation où il n'est pas censé y avoir besoin de "conformité", la nécessité de celle-ci est un indice que cette auto-régulation fonctionne mal.

Référence complète: Frison-Roche, M.-A., Le "droit à l'oubli" toujours en expansion: un oxymore légitime dans le Droit de la Compliance construit sur l'information. L'exemple de la protection des survivants du cancer (The always in expansion "Right to be Forgotten"​: a legitimate Oxymore in Compliance Law built on Information. Example of​ Cancer Survivors Protection), Newsletter MAFR - Law, Compliance, Regulation, 25 août 2020 

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Le "droit à l'oubli" est une invention de la Cour de Justice de l'Union européenne lors de l'affaire Google Spain en 2014. Il implique que les entreprises numériques bloque l'accès aux données personnelles d'un individu lorsque celui-ci le demande. Ce "droit à l'oubli", qui permet d'imposer le secret au tiers a largement été généralisé par le RGPD adopté en 2016. Ce nouveau droit subjectif fondamental est un droit à la fois très politique et très européen. Les Etats-Unis qui, contrairement à l'Europe, n'ont pas fait l'expérience du nazisme, lie le "droit à l'oubli" à la protection du consommateur, conception qui conduit notamment le California Consumer Privacy Act  adopté en 2018 à lier ce droit à une situation d'absence  de nécessité de ces données pour l'entreprise qui les a obtenues.

En Europe, cette volonté de protéger directement le personnage accroît au contraire la portée d'un tel droit subjectif. Ainsi, en France et au Luxembourg, depuis 2020, une personne ayant été malade d'un cancer peut donc demander à ce qu'une telle information ne soit pas accessibles parmi les données de santé, notamment pas aux compagnies d'assurance qui les manient dans leur  calcul des risques pour fixer le montant des primes. Les Pays-Bas feront de même en 2021 pour lutter contre la discrimination entre les clients des banques et des assureurs.

Le "but monumental" n'est ainsi plus tant ici la protection des libertés individuelles que la protection de la personne vulnérable, qui est par ailleurs la clef de voûte d'un Droit de la Compliance équilibrant tantôt interdiction de faire circuler l'information (comme ici) et tantôt obligation de faire circuler l'information (dans d'autre cas, où l'alerte doit être donnée) suivant que les personnes vulnérables sont protégées soit par l'un soit par l'autre. 

Référence générale: Frison-Roche, M.-A., Le contrôle par le Régulateur des plans d'investissement des gestionnaires d'infrastructures essentielles : l'exemple du réseau électrique et la notion de "doctrine", (The control by regulator of the essential infrastructure manager's investment plan: example of electric network and the notion of "doctrine"), Newsletter MAFR - Law, Compliance, Regulation, 24 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Le 31 juillet 2020, La Commission de Régulation de l'Energie (CRE) a examiné le plan d'investissement du gestionnaire du réseau électrique français RTE comme il le fait chaque année. Ce plan d'investissement est un document économique mais il contient également des finalités sociétales, en particulier d'adapter le réseau d'électricité en vue d'intégrer les énergies renouvelables. 

Le contrôle de la CRE n'est pas qu'un contrôle financier. L'opérateur crucial qu'est RTE est libre de décider la manière dont il souhaite gérer son budget. La CRE ne fait pas que formuler des conseils sur le plan financier en recommandant par exemple d'être davantage flexible dans ses stratégies financières. Le véritable contrôle de la CRE concerne les orientations générales du plan d'investissement, la méthodologie de l'analyse des besoins et les choix d'investissement de l'opérateur crucial devant être alignés sur ceux du régulateur. 

Un tel contrôle donne lieu à l'émergence d'une "doctrine d'investissement" du côté de l'opérateur crucial, mélangeant ses propres choix et les lignes directrices du Régulateur qui le supervise. Au-delà de cela, l'élaboration du plan d'investissement relève d'une véritable corédaction entre le Régulateur et l'entreprise qui discutent ensemble, échangent des points de vue et des méthodes . Une telle méthode de travail, exprimant une sorte de corégulation, pourrait également s'installer dans d'autres secteurs. 

_____

Référence complète: Frison-Roche, M.-A., Etre obligé de déverrouiller son téléphone n'est pas équivalent à s'auto-incriminer: Cour de Cassation, Chambre criminelle, 19 décembre 2019, (Being obliged by Law to unlock telephone is not equivalent to self-incrimination: Cour de cassation, Criminal Chamber, Dec. 19, 2019), Newsletter MAFR - Law, Compliance, Regulation, 21 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

La Cour de Cassation a rendu une décision le 19 décembre 2019 à propos d'une affaire concernant le refus de la part d'un citoyen de communiquer le code de déverrouillage de son téléphone portable à la police alors que celle-ci l'avait trouvé en possession d'une quantité significative de drogue et de beaucoup d'argent liquide et qu'il existait une probabilité certaine que ledit téléphone contienne des informations qui aurait pu constituer des preuves de la culpabilité de son propriétaire. L'individu en question a été inculpé non pas pour trafic de drogue mais pour avoir refusé de communiquer son code de déverrouillage et donc pour infraction à l'article 434-15-2 du code pénal, issu de la loi du 3 juin 2018 renforçant la lutte contre la criminalité organisée, et le terrorisme et leur financement.

L'accusé invoque devant la cour son droit à ne pas s'auto-incriminer. Effectivement, la configuration face aux policiers était telle que s'il refusait de communiquer son code de déverrouillage, il serait sanctionné au motif de cette obligation de communiquer son code et que s'il acceptait, il se serait également retrouvé sanctionné au vu des preuves contenues dans le téléphone portable. Une telle configuration ne lui offrait donc pas d'alternative à l'aveu, ce qui est contraire à la Convention Européenne des Droits de l'Homme et à la jurisprudence européenne et nationale.

Face à un tel cas, la Cour de Cassation a choisi de segmenter les différentes informations en présence et a donc proposé la solution suivante: si les informations recherchées ne peuvent être obtenues indépendamment de la volonté du suspect, il n'est pas possible de contraindre cette personne à communiquer la dite information sans violer ses droits procéduraux, mais si les informations peuvent être obtenues indépendamment de la volonté du suspect, alors l'individu est dans l'obligation de communiquer son code. Dans le cas présent, comme il était possible pour les forces de l'ordre d'obtenir les information contenues dans le téléphone par des moyens techniques, certes plus longs mais existants, alors le refus de communication du code de verrouillage par le suspect constitue une obstruction qu'il convient de sanctionner. 

Une telle décision est un exemple de conciliation par le juge des deux "buts monumentaux" fondamentaux mais contradictoires du Droit de la Compliance: la transparence de l'information vis-à-vis des autorités publiques et la protection des données personnelles à caractère sensible. 

___

​Pour aller plus loin, lire le document de travail de Marie-Anne Frison-Roche: Repenser le monde à partir de la notion de donnée

► Référence complète : Dreyfuss, S., Remplacer la culture de la corruption par une culture de la compliance : l’Europe prend ses responsabilités pour son propre avenir, Le Grand Continent, août 2020. 

____

📝 Lire l'article. 

Référence complète: Frison-Roche, M.-A., Existe-t-il un "droit à l'indemnisation" lorsque le Droit de la Compliance est transgressé, et cela doit-il être encouragé? - Le Cas Marriott, (When Compliance Law is violated, does the "right to be (re)compensated"​ exist, and must it be encouraged or not? - The Marriott case), Newsletter MAFR - Law, Compliance, Regulation, 20 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

En août 2020, l'entreprise Marriott International, plateforme de réservation de chambres d'hôtel en ligne, a été traduite devant une tribunal britannique par une entreprise de Conseil par une technique de "class action". L'entreprise demande à ce que Marriott International indemnise les clients dont les données personnelles ont été piratées alors même que Marriott International, qui avait la charge de ces données, n'avait pas mis en oeuvre tout ce qu'elle pouvait pour protéger les données en question. Selon l'entreprise demandeuse, rendre l'entreprise responsable en Ex Ante de la sécurité des données de ses clients et la contraindre à indemniser les clients lésés en cas d'échec est une plus grande incitation pour l'entreprise à faire de son mieux pour protéger ces données qu'une simple amende monétaire à payer aux autorités publiques.

De nombreux recours similaires sont en cours, notamment devant des cours britanniques où la pratique de la "class action" est plus développée. La question est par conséquent de savoir s'il y a lieu d'encourager le développement de ce genre de procédures en France. Concrètement, un droit subjectif substantiel (ici le droit à voir ses données protégées) n'existe que s'il est accompagné par un droit procédural à saisir le juge afin qu'il l'active. Le droit à pouvoir demander une indemnisation en cas de violation des obligations de Compliance n'est donc pas simplement une forte incitation pour les entreprises débitrices de ces obligations de Compliance mais également une condition d'effectivité de ces mêmes obligations, sachant que l'effectivité est le soucis majeur du Droit de la Compliance. 

Référence complète: Frison-Roche, M.-A., L'impartialité des régulateurs et le contrôle des contenus: le cas des "Infidèles" (Regulators'​ Impartiality and contents control: "Les infidèles"​ case), Newsletter MAFR - Law, Compliance, Regulation, 19 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

​Pour aller plus loin, lire le chapitre de l'ouvrage Les outils de la Compliance: "La prégnance géographique des outils de la Compliance" ouvert par un chapitre introductif de Jean-Baptiste Racine

Résumé de la news

L'impartialité du régulateur est un des principes les plus importants du Droit de la Régulation et de la Compliance. Cependant, cette impartialité peut s'avérer difficile à mettre en oeuvre lorsque l'objet de régulation comporte une forte dimension morale.

En août 2020, diverses associations religieuses ont saisi le Conseil National de Régulation de l'Audiovisuel sénégalais (CNRA) pour demander l'interdiction de la diffusion à la télévision du film "Les infidèles" narrant l'histoire d'une femme mariée aux multiples amants. 

Tout d'abord, le régulateur distingue les séquences pouvant nuire aux identités culturelles et religieuses des séquences choquantes ou pouvant porter atteinte à la dignité de la personne. Ensuite, il demande la suppression des scènes jugées indécentes et obscènes ainsi que les scènes susceptibles de nuire aux différentes identités culturelles et religieuses, interdit la diffusion du film à la télévision avant 22h30, demande la modification de la bande-annonce et enfin requiert l'insertion d'un pictogramme portant l'inscription "interdit au moins de 16 ans" lors de la diffusion. Le CNRA se juge compétent pour réguler le contenu des téléfilms de manière à préserver les identités culturelles au regard de la loi du 4 janvier 2006 fixant sa mission. 

En 2012, une polémique similaire avait entouré, en France, la diffusion d'un film différent mais du même nom. Cependant, l'objet et le contexte étaient très différents puisque le film était diffusé au cinéma et non à la télévision, qu'il présentait des hommes infidèles et non des femmes infidèles, qu'il avait une vocation humoristique et non sociologique, que le régulateur compétent n'était pas un organe administratif mais un organe professionnel et que le pays de diffusion n'était pas le même. Ici, seule l'affiche avait due être modifiée.

Ainsi, une régulation impartiale doit cependant prendre en compte les "identités culturelles locales". 

Référence complète: Frison-Roche, M.-A., La coordination entre les régulateurs locaux peut-elle remplacer un régulateur centralisé? L'exemple de l'organisation européenne du principe de l'Internet libre (Can Coordination between local Regulators replace a unique centralized Regulator? Example of the European organisation of the Open Internet Principle), Newsletter MAFR - Law, Compliance, Regulation, 18 août 2020

Lire, par abonnement gratuit, les autres news de la Newsletter MAFR - Law, Compliance, Regulation

Pour aller plus loin, lire l'article de Marie-Anne Frison-Roche: L'hypothèse de l'interrégulation 

Résumé de la news

Le principe de "l'internet ouvert" consacré par le règlement européen du 30 avril 2016 garantit un accès non discriminatoire aux contenus et aux services d'internet. Cependant, il n'existe pas de régulateur européen pour mettre en oeuvre un tel principe. Est-il possible d'assurer l'effectivité du principe de l'internet ouvert sans un régulateur central associé? 

Le 11 juin 2020, l'ORECE (l'organe des régulateurs européens des communications électroniques) a adopté des lignes directrices concernant l'application du principe de l'Internet ouvert. L'ORECE n'est pas un régulateur européen mais un réseau d'autorités de régulations nationales visant à coordonner leurs actions. Cet organe n'est que consultatif mais ses recommendations sont prises en compte par les autorités nationales qui disposent quant à elles de pouvoirs juridiques approfondis, comme le signale le rapport du cabinet de conseil Osborne-Clarke à propos de la mise en oeuvre technique du principe européen de l'internet ouvert au niveau national.

Il n'est donc pas nécessaire d'avoir un régulateur central pour assurer l'effectivité d'un principe à partir du moment où il existe un réseau de régulateurs locaux capable de coordonner leurs actions par le biais du droit souple.   

Référence complète: Frison-Roche, M.-A., La cartographie des risques: est-elle juridiquement différente lorsqu'elle est faite par les entités de régulation plutôt que par les entreprises régulées? (Risk Mapping: is it legally different when it is made by Regulatory Bodies or by Regulated Enterprises?),  in Newsletter MAFR - Law, Compliance, Regulation, 17 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter, MAFR - Law, Compliance, Regulation

Résumé de la news

Chaque année, l'Autorité des marchés financiers, la Banque centrale européenne ou l'Agence française anti-corruption publient des cartographies des risques. A première vue, les cartographies des risques établies par le régulateur ont vocation à aider à la fois le régulateur et l'entreprise régulée à faire face à ces risques en les anticipant. Ces documents ne seraient donc qu'une aide apportée aux entreprises dans leur mission de compliance et en aucun cas une injonction de la part du régulateur à prendre en compte les risques qu'il met en avant. 

Cependant, la loi oblige les entreprises a constitué leur propre cartographie des risques sous peine de sanction. Dès lors que le régulateur a auparavant publié sa propre cartographie des risques, les entreprises, obligée de rédiger la leur, peuvent-elles s'en écarter? Si l'entreprise suit la cartographie publiée par le régulateur, peut-il s'en prémunir au cas où on l'accuserait de ne pas avoir remplie ses obligations de compliance? Au contraire, si l'opérateur ne suit pas la cartographie des risques du régulateur, cela peut-il lui être reproché? Formellement, les cartographies des risques des régulateurs ne s'accompagnent pas d'une injonction à en tenir compte mais, comme chacun sait, toute recommendation d'un régulateur ou d'un superviseur doit être prise en compte.

La solution juridique pourrait ici être la mise en place d'un système de "comply or explain" qui signifierait que si l'entreprise décide de ne pas suivre la cartographie des risques établie par le régulateur, elle doit être en mesure de pouvoir justifier ce choix. 

Pour aller plus loin, lire:

• Frison-Roche, M.-A., La théorie juridique de la cartographie des risques, centre du Droit de la Compliance, working paper, 2020 (en anglais)

Référence complète: Frison-Roche, M.-A., Est-ce que la régulation des discours de haine et des fausses informations est une obligation légale imposée aux entreprises du numérique ou est-ce l'expression de leur volonté libre de contribuer à la démocratie? (Is Regulating Hate and Infox a legal obligation imposed to the Digital Enterprises or the expression of their free will to contribute to Democracy?), Newsletter MAFR - Law, Compliance, Regulation, 14 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Internet permet d'accéder à des connaissances élargies mais rend également plus facile la diffusion de fausses informations et de discours de haine. Malheureusement, les pouvoirs publics ne peuvent pas savoir qui diffusent ces fausses informations et ces discours de haine et ne sont donc pas en mesure de lutter efficacement contre cela. Une solution serait d'obtenir des entreprises numériques qu'elles trouvent le moyen d'endiguer ces fausses informations et ces discours de haine qu'elles contribuent structurellement à propager. 

Les entreprises numériques s'appliquent déjà à cela et notamment Facebook qui prévoit de sensibiliser ses utilisateurs américains en vue des élections présidentielles de 2020. Cependant, les entreprises numériques expliquent que si elles luttent contre les fausses informations et les discours de haine, c'est uniquement par responsabilité sociale des entreprises (RSE). Or, même s'il s'agit d'un calcul pour obtenir une bonne réputation et éviter les actions de boycott, cela reste une volonté de l'entreprise qui n'est donc ni contrainte de réussir, ni même d'agir. 

La solution proposée par le Droit de la Compliance est de faire de cet effort une obligation légale en internalisant dans les opérateurs cruciaux que sont les entreprises numériques le "but monumental" de lutter contre les fausses informations et les discours de haine afin que les entreprises numériques soient tenues d'agir et qu'elles soient supervisées par des autorités publiques dans cette tâche. La loi à venir sur les services numériques imposera aux entreprises numériques des obligations Ex Ante tandis que la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l'information impose déjà aux opérateurs de plateformes une obligation légale de "coopérer" dans la lutte contre les fausses informations. 

​Pour aller plus loin, lire: 

• Frison-Roche, M.-A., Lorsque Facebook "invite" chaque internaute à agir contre le COVID-19 en le dirigeant vers le Centre Public d'Information, est-ce par obligation légale (Compliance) ou par RSE? Avec quelles conséquences?, document de travail, 2020
• Frison-Roche, M.-A., Se tenir bien dans l'espace numérique, document de travail, 2020

Référence complète: Frison-Roche, M.-A., Face au blanchiment d'argent, quelle temporalité est-elle la plus efficace? L'Ex Ante ou l'Ex Post? (Le cas BIL), Against money laundering, what time matters? Does it work, between ExAnte and ExPost? (BIL case), Newsletter MAFR - Law, Compliance, Regulation, 11 août 2020

Lire par abonnement gratuit les autres news dans la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

L'activité de blanchiment d'argent est néfaste non seulement en elle-même mais aussi parce qu'elle permet le déploiement et la pérennité d'autres activités criminelles telles que le trafic de drogue, le trafic d'armes ou la vente d'être humains. Lutter contre le blanchiment d'argent pourrait permettre de lutter indirectement contre ces activités sous-jacentes, par ailleurs très difficiles à combattre. Ainsi, la lutte contre le blanchiment d'argent est devenu un "but monumental", ce qui permet de justifier l'adoption d'outils parfois beaucoup plus puissants que ceux utilisés par le Droit pénal classique. Par soucis d'efficacité, l'obligation légale de prévenir le blanchiment d'argent est donné à toute entité en position de le faire, comme les banques, les agents immobiliers ou les sociétés de jeux, sous peine de sanction.

Le 10 août 2020, l'autorité de supervision des marchés financiers luxembourgeoise a condamné le Banque Internationale du Luxembourg (BIL) à verser une amende de 4,5 millions d'euros en raison de faiblesses détectées dans son processus de lutte contre le blanchiment d'argent. Cependant, au moment où la sanction a été prononcé, la banque avait déjà remédié aux faiblesses identifiées. Il est important de noter ici que ce qui importe le Droit de la Compliance, ce n'est pas qu'un comportement de non conformité soit sanctionné mais plutôt que l'entreprise cruciale modifie son comportement en vue d'être plus efficace dans la réalisation du "but monumental", seule préoccupation de l'autorité publique. Ainsi, une sanction Ex Post contre l'opérateur crucial, n'est pas une fin en soi et se justifie uniquement si elle permet d'inciter l'opérateur crucial à agir ou plutôt de le désinciter à ne rien faire. Le Droit de la Compliance est un système juridique Ex Ante. 

Pour aller plus loin, lire: 

• Frison-Roche, M.-A., Le couple Ex Ante - Ex Post, justificatif d'un droit spécifique de la régulation, 2006

Référence complète : Frison-Roche, M.-A., L'utilité pratique d'avoir une définition ferme de la "Compliance" (The practical utility to have a firm definition of "Compliance"), Newsletter MAFR - Law, Compliance, Regulation, 10 août 2020.

Lire par abonnement gratuit les autres news dans la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Certains disent que définir la Compliance est un exercice théorique inutile qu'il convient de laisser de côté pour s'atteler à l'étude de cas techniques concrets. Cependant, pour pouvoir manipuler les outils de la Compliance, il est au préalable nécessaire d'avoir une idée claire, ferme et simple de ce qu'est la Compliance. D'autre part, l'avenir de cette nouvelle branche du Droit dépend intensément de la définition que nous décidons de lui donner. 

Le Droit de la Compliance donnent à certaines entreprises cruciales privées de nouvelles responsabilités comme celle de lutter contre des dangers globaux ou de sauver la planète. En cela, le Droit de la Compliance peut être perçu comme une sorte de New Deal entre le secteur privé et les autorités publiques, à la seule différence que cette fois-ci le consentement du secteur privé n'est pas requis. 

Certains diront que la concrétisation de tels projets est le devoir de l'Etat et que les entreprises privées, si elle doivent respecter les règles n'a pas à trouver un moyen de concrétiser un "but monumental". Cependant, le monde fait face à des dangers nouveaux et systémiques face auxquels l'Etat seul est impuissant, techniquement ou géographiquement, et contre lesquels les entreprises cruciales peuvent agir.

Il ne s'agit pas, comme certains le préconisent de mettre l'être humain à l'écart du Droit de la Compliance en laissant les machines décider. Il s'agit de placer l'être humain et sa protection au coeur du Droit de la Compliance. En cela, le Droit de la Compliance peut devenir un nouvel humanisme. 

​Pour aller plus loin, lire le document de travail de Marie-Anne Frison-Roche, Le Droit rêvé de la Compliance

Référence complète : Commission de Surveillance du Secteur Financier (CSSF) , Décision administrative du 16 mars 2020, Banque Internationale du Luxembourg (BIL). 

Lire la présentation de la décision (en français et en anglais)

'► Référence complète: Thouret, T., "Le pharmacien, un "opérateur crucial" pour prévenir une crise des opiacés en France", Actu-juridiques, Lextenso, 2020.

___

📝Lire l'article

________

Ce document de travail a servi de base à un article, s'insérant dans un ouvrage Les outils de la Compliance, 2020

___

Résumé du document de travail :

La formation est tout à la fois un outil spécifique de Compliance, parfois exigé par le Droit de la Compliance, et une dimension que chaque outil de Compliance exprime.

Au premier titre, en tant que la formation est un outil spécifique de Compliance, elle est supervisée par les Régulateurs. Elle devient même obligatoire lorsqu'elle est contenue dans des programmes de Compliance. Puisque l'effectivité et l'efficacité sont des exigences juridiques, quelle est alors la marge des entreprises pour les concevoir et comment en mesure-on le résultat ? 

Au second titre, tant que chaque outil de Compliance comprend, et de plus en plus, une dimension éducative, l'on peut reprendre chacun d'entre eux pour dégager cette perspective. Ainsi même les condamnations et les prescriptions sont autant de leçons : leçons données, leçons à suivre. La question est alors de savoir qui, dans ce Droit si pédagogique, y sont les "instituteurs".

_____ 

Introduction.

La formation s'apparente à ces choses  - et des plus précieuses - que l'on fait, voire que l'on rêve de faire, mais que l'on peine à exprimer dès l'instant qu'on les prend comme objet d'écrit technique. Just do it. 

Il serait pourtant malheureux de publier un ouvrage sur Les outils de la Compliance sans qu'une place particulière soit faite à la formation, la pièce manquerait au puzzle.

Tant d'argent consacré par les entreprises, de gré ou de force, notamment lorsque les programmes de compliance imposés au titre de sanction comprennent de lourdes obligations de formation menant chacun à retenir mot à mot tout ce qu'il lui est interdit de faire, afin de toujours désormais s'en abstenir.  La formation est ainsi la pointe acérée d'un Droit si dur qu'elle apparaît sous l'acier de l'épée pénale dans les amphithéâtres et les e-learnings.

Mais aussi tant de discours sur la nécessité d'une "culture de compliance" qui devrait être inculquée à l'intérieur des entreprises, la Compliance se mariant alors avec joie dans une harmonie avec leur "raison d'être" et l'identité historique de ce groupe de personnes qu'est une entreprise à travers des formations qui racontent la Compliance comme un lien, une main tendue  vers ceux avec lesquels les managers veulent renouveler un contrat moral dans une éthique pour laquelle ils donnent le bon exemple. Ce n'est plus l'interdit mais la communication et la communauté qui donnent le ton d'un dialogue humain avec les salariés, les parties prenantes, l'administration et les juges.

L'on répondra que l'un n'exclut en rien l'autre, que la formation doit viser tout cela, l'apprentissage des prescriptions obligatoires à suivre sans discuter mais aussi l'adhésion à des lignes de conduite, et ce parce qu'on a compris qu'elles étaient fondées. 

Tout et son contraire, donc. " Apprendre par cœur" prend ainsi son sens entier : obtenir que chacun retienne mécaniquement pour qu'aucun faux-pas ne soit jamais fait par personne (avec toujours plus de machines qui nous apprennent en masse la masse réglementaire sur les écrans de nos téléphone) mais aussi arriver à ce que notre "cœur" soit un peu apporté dans la Compliance grâce à des méthodes particulières de formation (avec des groupes toujours plus petits, des échanges toujours moins publics dans des endroits conviviaux). Tout et son contraire donc. 

Il faudrait mais il suffirait de cumuler. Faire tout. Ceux qui proposent des logiciels de formation comme ceux qui organisent des conférences, des rencontres, des voyages y sont favorables, dans une addition du « présentiel » et du « distanciel », du mécanique et de l'humain. Mais, concrètement, à la fin les entreprises observent que puisque l'un ne remplace pas l'autre les coûts s'additionnent. Or, dans le coût de la compliance qui constitue un défaut de celle-ci, la formation prend une bonne part. Les entreprises finissent par trouver l'addition lourde, d'autant plus qu'elles pensaient que la formation des personnes relèvent de l'école publique et ne doit pas être à leur charge!footnote-1837.

Ainsi l'apprentissage du Droit des obligations par exemple ne fait pas partie du Droit des obligations. L'on peut souhaiter que chacun connaisse le droit des contrats et de la responsabilité mais cela n'est pas internalisé dans cette branche du Droit. L'on peut rappeler d'une façon générale que les sources du Droit doivent être claire afin que leurs destinataires les comprennent et ainsi "apprennent", cette dimension pédagogique étant inhérente au Droit, renforcée juridiquement par l'objectif d'accessibilité du Droit et Carbonnier affirmait que le Législateur est un pédagogue ("Toute loi nouvelle est-elle mauvaise ?), mais c'est une remarque qui vaut pour toute production juridique. D'une façon plus pertinente, l'on observe que le Droit de la consommation a intégré parmi les obligations des professionnels un obligation de former les consommateurs. Plus encore le Droit financier, notamment sous l'influence du Droit américain en ce que celui-ci repose sur l'information de l'investisseur et l'aptitude de celui-ci à la manier (par exemple dans la loi Dodd-Frank, intégre la formation de celui-ci dans la branche du Droit elle-même. Elle entre alors dans la mission de l'Autorité de Régulation et dans les obligations des opérateurs dominants. Le Droit de la Compliance étant particulièrement interactif avec le Droit financier, la formation y prend alors une place considérable, juridiquement organisée et sanctionnée.

En outre la formation à la Compliance n'est pas extérieure au Droit de la Compliance, ce qui la rend particulière!footnote-1838. En effet le Droit de la Compliance, ensemble de mécanismes Ex Ante, a pour objet de concrétiser des "buts monumentaux"!footnote-1836. Fixés par les Autorités publiques, ceux-ci sont internalisés dans les entreprises pour qu'elles mettent en place les moyens requis afin qu'ils soient à l'avenir atteints. Ces buts monumentaux peuvent être négatifs (que la corruption, le blanchiment, la violation des droits humains, la crise du système financier, etc. n'aient pas lieu), ou être positifs (que l'équilibre écologique soit restauré, l'éducation soit offerte, les soins apportés, etc.).

Le Droit de la Compliance prend comme critère l'effectivité des mécanismes mis en place, leur réalité, mais aussi leur efficacité, c'est-à-dire leur aptitude à faire en sorte que leur but soit atteint. La formation doit atteindre son but. Alors en matière de Compliance, la finalité n'est pas celui de toute formation, à savoir transmettre un savoir afin de rendre plus savant!footnote-1839, mais c'est de contribuer au "but monumental" du Droit de la Compliance lui-même, qui a un but pratique et non pas un but savant. Par exemple, la formation sur les règles applicables en matière de corruption doit avoir pour effet de réduire la corruption. Et parce que la formation est elle-même une partie du Droit de la Compliance, de la même façon que l'Autorité de Régulation peut obliger à se former et à former autrui, l'Autorité de Supervision doit contrôler non seulement la réalité mais encore l'effectivité et l'efficacité des formations.

Or, l'effectivité et l'efficacité des formations de Compliance, parce que celles-ci sont partie intégrante du Droit de la Compliance, doivent être contrôlées par l'Autorité non seulement dans leur réalité mais encore dans leur aptitude concrète à participer au but poursuivi. Ainsi pour poursuivre l'exemple de la lutte contre la corruption, la formation y joue un rôle déterminant car l'entreprise est face à une alternative : ou une solution mécanique consistant à fixer des interdictions littérales, par exemple l'interdiction de toute cession de valeur supérieure à un certain montant (selon le raisonnement des textes "anti-cadeaux") avec le risque des contournements qu'offrent toujours toutes prescriptions littérales, ou une solution par la formation consistant à faire comprendre à tous qu'il est mal de corrompre mais qu'il est admissible de donner des échantillons. La formation mise donc plutôt sur l'esprit tandis que la machine intégre la lettre. 

Mais cela renvoie la question à l'Autorité de Régulation et de Supervision qui va apprécier les diligences de l'entreprise pour atteindre les buts. L'on observe que, de plus en plus, les Autorités font comme l'économie d'une étape : plutôt que d'expliquer aux entreprises comme éduquer les personnes qui travaillent pour elles et avec elles, les régulateurs éduquent directement. Est ainsi remarquable le "guide" publié en 2012, dont la deuxième édition de 2019 a été mise à jour en 2020, conjointement par le Department of Justice américain (DoJ) et le Régulateur financier (Securities & Exchanges Commission - SEC) pour tout savoir sur le  Foreign Corruption Practices Act (FCPA). A travers les explications offertes à tous!footnote-1840 des principes, les définitions rappelées, les cas racontés, ce sont des prescriptions de comportement qui sont formulées notamment à destination des entreprises étrangères par l'autorité de poursuite et l'autorité de sanction américaines, ainsi alliées dans ce manuel dont le poids est tel qu'on peut considérer qu'il a valeur de lignes directrices, Droit souple créateur de droits.

Dans la concentration de tous les pouvoirs que l'on reproche souvent au Régulateur, il y aurait aussi le magistère de l'instituteur, celui qui éduque les parties prenantes. Après avoir affirmé, sur le même modèle américain, que le Régulateur devait être "l'avocat" (au sens large, the advocate) des règles auprès des entreprises en leur démontrant l'intérêt que celles-ci ont de les respecter, il est logique que, dans ce que certains ont appelé la "Régulation, Acte 2" cette plaidorie du Régulateur sur la bonne nouvelle que constitue la Régulation pour l'entreprise justifiant ainsi que celle-ci l'intégre en Ex Ante se prolonge en cours magistral : le "Régulateur - Instituteur" explique à chacun comment manier les règles pour un Droit toujours en progrès (Better Regulation). 

Alors que la formation n'était que périphérique, la voilà au coeur.  Si elle est si importante, comme tout autre "outils de la Compliance", elle doit prendre ce que l'on attend d'elle. Les écrits sur la formation exposent le plus souvent ce qu'elle doit être et un esprit chagrin mesure ce qui paraît parfois un gouffre entre leurs descriptifs et la réalités parfois rapportée. 

Eduquer étant sans doute une des actions les plus difficiles, sans doute ne faut-il pas ni décrire un paradis de maïeutique ni écrire un brûlot contre ce qui a déjà le mérite d'exister, mais répertorier ce que l'on peut attendre d'une formation lorsqu'elle s'applique à la Compliance, puisqu'ici plutôt encore que pour les autres outils il s'agit d'une obligation de moyens. Quel contenu doit avoir une telle formation ? (I). Mais parce que le Droit de la Compliance vise la formation comme l'un des moyens d'atteindre les "buts monumentaux" qui constituent le coeur substantiel de cette branche du Droit, la dimension de formation n'est pas limitée aux formations dûment estampillées, car l'on retrouve cette dimension pédagogique dans quasiment tous les autres outils (II). En cela, l'on peut dire que la formation est l'alpha et l'omega de la Compliance.