Matières à Réflexions

22 octobre 2020

Base Documentaire : Soft Law

Référence complète: Coeurquetin, R., Comparaison mécanique des versions 2017 et 2020 des recommendations de l'Agence Française Anti-corruption sur la cartographie des risques de corruption, Octobre 2020, 9 p. 

Lire la comparaison mécanique 

Pour aller plus loin sur la question de la cartographie des risques, lire les documents de travail de Marie-Anne Frison-Roche: Dresser des cartographies des risques comme obligation et le paradoxe des "risques de conformité" et Points d'ancrage de la cartographie des risques dans le système juridique 

22 octobre 2020

Interviews

Référence complète: Frison-Roche, M.-A., "Health Data Hub est un coup de maître du Conseil d'Etat", interview réalisée par Olivia Dufour pour Actu-juridiques, Lextenso, 22 octobre 2020

Lire la news du 19 octobre 2020 de la Newsletter MAFR - Law, Compliance, Regulation sur laquelle s'appuie cette interview: Conditions for the legality of a platform managed by an American company hosting European health data​: French Conseil d'Etat decision 

Pour aller plus loin, sur la question du Droit de la Compliance en matière de protection des données de santé, lire la news du 25 août 2020: The always in expansion "Right to be Forgotten"​: a legitimate Oxymore in Compliance Law built on Information. Example of​ Cancer Survivors Protection 

19 octobre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Conditions de validité d'un contrat de gestion des données de santé entre une plateforme de droit public français et un entreprise de gestion de données, filiale d'une entreprise américaine : decision du Conseil d'Etat (Conditions for the legality of a platform managed by an American company hosting European health data​: French Conseil d'Etat decision), Newsletter MAFR - Law, Compliance, Regulation, 19 octobre 2020

 

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

_____

 

Résumé de la news : Dans son ordonnance de référé du 13 octobre 2020, Conseil national du logiciel libre (décision dite Health Data Hub), le Conseil d'Etat a déterminé les règles de droit gouvernant la possibilité de conférer la gestion de données sensible sur une plateforme à une entreprise non-européenne, à travers le cas particulier de l'arrêté et du contrat par lequel la gestion de la plateforme centralisant des données de santé pour lutter contre l'épidémie de Covid-19 a été confiée à la filiale irlandaise d'une entreprise américaine, en l'espèce Microsoft.

Le Conseil d'Etat a utilisé à titre principal la jurisprudence de la CJUE, notamment l'arrêt du 16 juillet 2020, dit Schrems 2, à la lumière duquel il a interprété et le droit français et le contrat liant le GIP et    

Le Conseil d'Etat a conclu qu'il n'était pas possible de transférer ces données aux Etats-Unis, que le contrat ne pouvait que s'interpréter ainsi et que les modifications de l'arrêté et du contrat sécurisé cela. Mais il a observé que le risque d'obtention par les Autorités publiques américain demeurait.

Parce que l'ordre public exige le maintien de cette plateforme et qu'il n'existe pas pour l'instant d'autre solution technique, le Conseil d'Etat a maintenu le principe pour l''instant de sa gestion par Microsoft, le temps qu'un opérateur européen soit trouvé. Pendant ce temps le contrôle de la CNIL, dont les observations ont été prises en considération, sera opéré. 

 

 

L'on peut tirer trois leçons de cette décision de grande importante :

  • Il existe un parfait continuum entre l'Ex Ante et l'Ex Post, puisque par un référé, le Conseil d'Etat est parvenu à obtenir un modification de l'arrêté, une modification des clauses contractuelles par Microsoft et des propos engageant du Ministre pour que, le plus vite possible, la plateforme soit gérée par un opérateur Européen. Ainsi, parce que c'est du Droit de la Compliance, le temps pertinent du juge est le futur. 

 

  • Le Conseil d'Etat a mis la protection des personnes au cœur de tout le raisonnement, ce qui est conforme à la définition du Droit de la Compliance. Il a réussi à résoudre le dilemme : soit protéger les personnes grâce à la personne pour lutter contre le virus, soit protéger les personne en empêchant la centralisation des données et leur captation par les Autorités politiques américaines. Par une décision "politique", c'est-à-dire une action pour le futur, le Conseil a trouvé une solution d'attente pour protéger les personnes et contre la maladie et contre la dépossession de leurs données, en exigeant d'une solution européenne soit trouvée. 

 

  • Le Conseil d'Etat a mis en exergue la Cour de Justice de l'Union européenne comme l'alpha et l'oméga du Droit de la Compliance. En n'interprétant le contrat passé entre un Groupement d'intérêt public français et une filiale irlandaise d'un groupe américain qu'au regard de la jurisprudence de la Cour de Justice de l'Union européenne, le Conseil d'Etat montre que l'Europe souveraine des données peut se construire. Et que les juridictions sont au centre de cela. 

 

___________

 

Lire l'interview donnée à propos de cette Ordonnance Health Data Hub. 

 

Pour aller plus loin, sur la question du Droit de la Compliance en matière de protection des données de santé, lire la news du 25 août 2020: The always in expansion "Right to be Forgotten"​: a legitimate Oxymore in Compliance Law built on Information. Example of​ Cancer Survivors Protection 

15 octobre 2020

Base Documentaire : Soft Law

Référence complète: Serious Fraud Office, Operational Handbook about Deferred Prosecution Agreements, Octobre 2020

Lire le manuel opérationnel (en anglais)

15 octobre 2020

Interviews

 Référence complète : Frison-Roche, M.-A., "Et si le secret de l’avocat était l’allié de la lutte contre le blanchiment ?", interview réalisée par Olivia Dufour pour Actu-juridiques, Lextenso, 15 octobre 2020

___

 Lire l'interview

____

📧 Cet entretien a été organisé à la suite de la parution du commentaire de l'arrêt de la Cour constitutionnelle belge du 24 septembre 2020, paru dans la Newsletter MAFR - Law, Compliance, Regulation : Attorney's Professional Secret & Filter mechanism in balance with fighting Money Laundering: constitutional analysis in favor of Attorney's Secret

____

 

Pour l'analyse plus générale de l'avocat dans le Droit de la Compliance, lire le document de travail de Marie-Anne Frison-Roche : 🚧 L'avocat, porteur de conviction dans le nouveau système de Compliance

 

14 octobre 2020

Base Documentaire : Doctrine

Référence complète: Petit, N., Droit européen de la concurrence, 3e édition, Collection "Précis Domat Droit Public/Droit privé", LGDJ-Lextenso, 2020

 

Lire la quatrième de couverture

Lire la table des matières

9 octobre 2020

Base Documentaire : Jurisprudence

Référence complète: Tribunal judiciaire de Paris, 9 octobre 2020, Ordonnance de référé, Veolia/Suez, N° RG 20/56077

 

Lire l'ordonnance de référé

9 octobre 2020

Base Documentaire : Soft Law

Référence complète: Financial Stability Board, The Use of Supervisory and Regulatory Technology by Authorities and Regulated Institutions. Market Developments and Stability Implications, Rapport du 9 octobre 2020, 36 p. 

Lire le rapport (en anglais)

Lire la présentation que fait le Financial Stability Board de ce rapport (en anglais)

Pour aller plus loin sur la question de l'usage des nouvelles technologies dans les processus de régulation, lire le document de travail de Marie-Anne Frison-Roche: Analyse des blockchains au regard des usages qu'elles peuvent remplir et des fonctions que les officiers ministériels doivent assurer

6 octobre 2020

Base Documentaire : 05. CJCE - CJUE

Référence complète: CJUE, grande chambre, 6 octobre 2020,  Privacy International c/ Secretary of State for Foreign and Commonwealth Affairs, C-623/17. 

 

Lire l'arrêt

Lire le résumé de l'arrêt 

Lire les conclusions de l'avocat général

Lire la demande de décision préjudicielle présentée par le Investigatory Powers Tribunal - London (Royaume-Uni)

 

1 octobre 2020

Base Documentaire : Soft Law

Référence complète des lignes directrices: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux "cookies et autres traceurs") et abrogeant la délibération n°2019-093 du 4 juillet 2019 

Référence complète de la recommendation: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs". 

Lire les lignes directrices

Lire la recommendation

Lire la présentation de cette recommendation et de ces lignes directrices par la CNIL

Lire le commentaire à ce propos de Marie-Anne Frison-Roche dans la Newsletter MAFR - Law, Regulation & Compliance du 1er octobre 2020

 

29 septembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence générale: Frison-Roche, M.-A., Juge entre plateforme et régulateur: l'exemple actuel de l'affaire Uber au Royaume-Uni (Judge between Platform and Regulator: current example of Uber case in U.K.), Newsletter MAFR - Law, Compliance, Regulation, 29 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

Résumé de la news:

Le 22 septembre 2017, Transport for London (TFL), régulateur des transports pour la ville de Londres, a refusé de renouveler la licence autorisant le transport de personnes qu'il avait accordé pour une durée de cinq ans, le 31 mai 2012, à l'entreprise Uber sous prétexte d'infractions pénales graves commises par les conducteurs de la plateforme. Le 26 juin 2018, la Westminster Court a prolongé la licence d'Uber pour une durée de quinze mois à condition que la plateforme préviennent les comportements répréhensibles de ses chauffeurs. Au terme de ces quinze mois, la TFL a de nouveau refusé de prolonger la licence d'Uber en raison de la persistance d'actes d'agressions envers les passagers. Uber a, une nouvelle fois, contesté cette décision devant la Westminster Court.

Dans son arrêt du 28 septembre 2020, la Cour constate que durant les quinze mois durant lesquels Uber s'était vu accordé une prolongation de sa licence à titre conditionnel par la Cour, la plateforme a mis en oeuvre de nombreuses mesures de prévention des agressions, que le niveau de maturité de ces mesures s'est même amélioré avec le temps et que le nombre de violations a été réduit sur la période (passant de 55 en 2018 à 4 en 2020). La Cour estime que la mise en oeuvre de ces actions est suffisante pour qu'Uber se voit accorder une nouvelle licence par le TFL. 

Nous pouvons retenir trois leçons de cette décision:

  1. L'obligation de Compliance n'est pas une obligation de résultat mais une obligation de moyens, ce qui signifie qu'il est aberrant d'attendre de l'opérateur crucial (ici Uber) qu'il prévienne tous les cas d'agressions mais qu'il est pertinent de le juger sur l'effort qu'il déploie pour tenter de se rapprocher de cet idéal. D'autre part, l'opérateur crucial se doit d'être proactif, c'est à dire de sortir de la figure du sujet de droit passif qui applique les mesures édictées par le régulateur en matière de lutte contre les aggressions mais d'être acteur de la recherche du meilleur moyen de combattre les comportements abusif en intériorisant ce "but monumental".
  2. Le juge apprécie la violation commise par ceux dont l'entreprise est responsable "en contexte", c'est-à-dire évalue la situation concrète de manière raisonnable.
  3. C'est le juge qui décide en dernier ressort et, par conséquent, comme l'opérateur crucial, il se doit de se montrer "raisonnable". 

 

Consulter par ailleurs pour aller plus loin: 

 

28 septembre 2020

Base Documentaire : Soft Law

Référence complète: Giuliani-Viallard, A., L'Europe de la compliance, au cœur du monde d'après. Pour une transformation de nos entreprises européennes et un essor de leur compétitivité à l'international, Question d'Europe, n°572, policy paper de la Fondation Robert Schuman, 28 septembre 2020, 3 p.

Lire le policy paper 

24 septembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., L'impact économique du Droit: un nouveau rapport à ce propos et quid de la Régulation et de la Compliance? Trois leçons (The Economic Impact of Law: a new report about it. And what about Regulation & Compliance? 3 lessons), Newsletter MAFR - Law, Regulation, Compliance, 24 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Regulation, Compliance

 

Résumé de la news: 

Le 18 septembre 2020, le Comité économique et social européen (CESE) a publié un rapport sur l'impact de l'Etat de droit sur la croissance économique.

Le CESE définit l'Etat de droit comme l'obligation pour "all public powers act within the constraints laid down by law, in accordance with the values of democracy and fundamental rights, and under the control of independent and impartial courts". ("Toutes les puissances publiques d'agir dans les limites fixées par la loi, conformément aux valeurs démocratiques et aux droits fondamentaux, et sous le contrôle de tribunaux indépendants et impartiaux"). Selon le Comité, l'Etat de droit ainsi défini est propice et même nécessaire à une croissance économique durable principalement parce que l'instabilité des réglementations, l'absence de garantie des droits de propriété et du travail, la discrimination ou la non-application des contrats favorisent peu voire sont néfastes pour les investissements et les activités productives des agents économiques. Le CESE note d'ailleurs que les pays respectant l'Etat de droit croissent beaucoup plus vite que ceux qui ne le font pas. Le Comité insiste également sur l'effet destructeur de la corruption qui détruit les services publics, l'action publique et les institutions publiques à long terme ainsi que la confiance tout en augmentant les inégalités. 

Bien que le CESE approuve les actions de la Commission européenne pour faire progresser l'Etat de droit dans l'Union, il invite cependant celle-ci à poursuivre ses efforts en donnant notamment une place plus importante encore aux juridictions et en protégeant davantage la liberté des médias dans un contexte de progression des forces autocrates à l'Est de l'Europe. 

On peut tirer trois leçons de ce rapport:

  1. L'intérêt commun des Etats membres de l'Union européenne à garantir l'Etat de droit. En effet, non seulement celui-ci est inscrit dans l'article 2 du TFUE et a été consacré par la jurisprudence de la CJUE mais il est également une condition du progrès économique. 
  2. La lutte contre corruption doit faire l'objet d'un effort redoublé. Dans cette perspective, le Droit de la Compliance est à même d'offrir des outils juridiques innovants appropriés. 
  3. A une définition du Droit de la Régulation et de la Compliance comme simple processus d'application mécanique des règles de droit, il est nécessaire de substituer une définition du Droit de la Régulation et de la Compliance fondée sur les notions de "but monumental" et de protection des personnes. Dans cette perspective, ces branches du droit s'avéreraient des outils puissants au service de la progression de l'Etat de droit dans l'espace européen.  

 

22 septembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Interrégulation: une manière d'établir un "protocole de coopération" entre les régulateurs. L'exemple de l'AMF et de l'AFA, (Interregulation: way of "cooperation protocol"​ between Regulatory Bodies. Example between French Financial Markets Authority and Anticorruption Agency), Newsletter MAFR - Law, Compliance, Regulation, 22 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

Résumé de la news: 

Bien que le Droit de la Régulation soit né de la notion de "secteur", les interférences permanentes entre les secteurs ainsi que les interactions fréquentes entre certains secteurs et des questions plus générales communes à différents secteurs, rendent l'interrégulation nécessaire. Le Droit de la Compliance n'étant que le prolongement du Droit de la Régulation, ce mécanisme d'interrégulation est aussi nécessaire en Droit de la Compliance qu'en Droit de la Régulation.

Cette interrégulation peut emprunter de nombreuses voies légales telles que l'échange de lettres entre régulateurs, la formation d'un réseau de régulateurs et de superviseurs au niveau mondial ou au sujet de certaines questions spécifiques ou encore l'adoption d'un "protocole de coopération" comme l'ont fait l'AMF et l'AFA le 16 septembre 2020 pour renforcer leurs luttes respectives contre les manquements à la probité, les abus de marché et pour la protection des investisseurs. 

Ce protocole de coopération entre l'AFA et l'AMF s'est doté des objectifs suivants:

  • Une méthodologie plus efficace concernant la recherche et l'analyse des manquements à la probité et des abus de marché. 
  • Une prévention plus efficiente des manquements à la probité et des abus de marché.
  • Une meilleure capacité à formuler des recommendations de nouvelles réglementations auprès du législateur. 
  • Un suivi plus rigoureux des travaux internationaux sur le sujet. 
  • Une information plus cohérente pour le public. 

Les régulateurs ne sont-ils pas les nouveaux instituteurs? 

21 septembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Régulation, Compliance et Cinéma: apprendre à propos de la régulation d'internet grâce à la série "criminels" (​Regulation, Compliance & Cinema: learning about Internet Regulation with the series "Criminals"​), Newsletter MAFR - Law, Compliance, Regulation, 21 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

Résumé de la news: 

L'épisode 3 de la saison 2 de la version britannique de la série "Criminals" met en scène le personnage de Danielle. Danielle est un mère de famille qui a décidé de partir à la recherche de pédophiles agissant sur les réseaux sociaux en vue de les piéger et de révéler au monde leurs agissements. Danielle met en avant l'efficacité de son action contrairement à celle de la police et de la justice qu'elle juge improductive. Dans l'épisode, Danielle est accusé par la police de diffamation. Alors que les policiers tentent d'expliquer à Danielle l'importance d'utiliser une procédure régulière respectueuse de l'Etat de droit visant à prouver ses accusations, celle-ci fait de l'efficacité son seul principe. Selon elle, ses méthodes obtiennent des résultats (contrairement à celles de la police qui respectent les procédures) et ceux qu'elles accusent d'être des pédophiles ne méritent pas de droits à se défendre.

On peut retenir trois leçons de l'histoire de Danielle:

  1. Si le Droit de la Compliance n'était qu'un simple processus d'application mécanique des règles de droit, alors l'Etat de droit n'aurait aucun droit de cité face au principe d'efficacité. Or, si le Droit de la Compliance est défini par ses "buts monumentaux" et que le respect de l'Etat de droit est érigé en "but monumental", alors efficacité et respect de l'Etat de droit deviennent compatibles et congruents. 
  2. L'espace numérique se doit d'être discipliné par des entreprises numériques cruciales supervisées par des autorités publiques, comme c'est le cas en France et en Allemagne pour les discours de haine et les fausses informations. 
  3. Le Droit de la Compliance, et le Droit en règle générale, doivent se montrer pédagogues envers les individus comme Danielle qui ne comprennent pas en quoi leur comportement peut être répréhensible contrairement à ce qu'ils s'imaginent. 

21 septembre 2020

droit illustré

Cette illustration d'une question juridique a été publiée dans la Newsletter MAFR - Law, Regulation & Compliance du 21 septembre 2020 sur LinkedIn.

 

Lire la news du 21 septembre 2020

16 septembre 2020

Base Documentaire : Doctrine

Référence complète: Lamoureux, M., Droit de l'énergie, Collection "Précis Domat Droit public/Droit privé", LGDJ-Lextenso, 2020

 

Lire la quatrième de couverture

Lire la table des matières

16 septembre 2020

Publications

🌐suivre Marie-Anne Frison-Roche sur LinkedIn

🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence complète : M.-A. Frison-Roche, "Se tenir bien dans l'espace numérique", in Mélanges en l'honneur de Michel Vivant, Penser le droit de la pensée, Dalloz et Lexis Nexis, 2020, pp. 155-168.

____

📝Lire l'article

____

🚧Lire le document de travail sur lequel cet article est basé, enrichi de développements supplémentaires, de références techniques et de liens hypertextes

 

► Résumé de l'article : L'espace numérique est un des rares espaces non spécifiquement cadrés par le Droit, liberté qui a aussi pour grave conséquence d'offrir l'opportunité à ses acteurs de ne pas "se tenir bien", c'est-à-dire d'exprimer et de diffuser largement et immédiatement des pensées haineuses, lesquels demeuraient auparavant dans des cercles privés ou restreints. L'intimité du Droit et de la notion juridique de Personne en est atteinte : le numérique permet à des individus ou des organisations d'agir comme des personnages démultipliés et anonymes, acteurs numériques dépersonnalisés porteurs de comportements attentatoires à la dignité d'autrui.

Contre cela, le Droit de la Compliance offre une solution adéquate : internaliser dans les opérateurs numériques cruciaux la charge de tenir disciplinairement substantiellement l'espace numérique. L'espace numérique a été structuré par des entreprises puissantes à même d'y maintenir l'ordre. Parce que le Droit ne doit pas réduire l'espace digital à n'être qu'un simple marché neutre de prestations numériques, ces opérateurs cruciaux, comme les réseaux sociaux ou les moteurs de recherches doit être obligés de contrôler substantiellement les comportements. Il peut s'agir d'une obligation des internautes d'agir à visage découvert, politique de "l'identité réelle" contrôlée par les entreprises, et de respecter les droits d'autrui, droits intimes, dignité, droits de propriété intellectuelle. Dans leur fonction de régulation, les entreprises digitales cruciales doivent être supervisées par des Autorités publiques

Ainsi le Droit de la Compliance substantiellement défini est gardien de la personne comme "sujet de droit" dans l'espace digital, par le respect que les autres doivent en avoir, cet espace passant du statut d'espace libre à celui d'espace civilisé, dans lequel chacun est contraint de se tenir bien. 

______

► Consulter pour aller plus loin : 

________

11 septembre 2020

Base Documentaire : Soft Law

Référence complète: Agence Française Anticorruption, Département de l'appui aux acteurs économiques, La politique cadeaux et invitations dans les entreprises, les EPIC, les associations et les fondations, Guide pratique 2020, 11 septembre 2020, 14 p.

Lire le guide pratique

10 septembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Répondre à un email contenant de "sérieuses anomalies", transférant des données personnelles, bloque le remboursement par la banque : décision de la Cour de Cassation, 1er juillet 2020 (Responding to an email with "serious anomalies"​,transferring personal data, blocks reimbursement by the bank: French Cour de cassation, July 1st 2020), Newsletter MAFR - Law, Compliance, Regulation, 10 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

Résumé de la news

Le "phishing" est une forme de cybercriminalité visant à obtenir, par des courriels frauduleux ressemblant à ceux pouvant provenir d'organismes légitimes, des informations personnelles du destinataire afin d'usurper son identité et/ou de le voler. Comme il est difficile d'en trouver les auteurs et encore plus de prouver leur intentionnalité afin de les punir directement, un des moyens de lutter contre le phishing peut être de confier la charge aux banques de sécuriser leur réseau d'information et, afin d'assortir cette obligation d'une forte incitation, de les condamner à rembourser les victimes en cas de vol de leurs données personnelles. 

En 2015, un client victime de ce type d'escroquerie a demandé à sa banque, le Crédit Mutuel, de lui rembourser la somme dérobée, ce que la banque refuse de faire au motif que le client avait commis une faute en transférant ses informations confidentielles sans vérifier l'e-mail pourtant grossièrement contrefait. Le tribunal de première instance donne raison au client parce que bien qu'ayant commis cette faute, il était de bonne foi. Ce jugement est annulé par la Chambre commerciale de la Cour de cassation par un arrêt du 1ier juillet 2020, qui pose que cette négligence grave, exclusive de toute considération de bonne foi, justifie l'absence de remboursement par la banque.

___

 

De ce cas particulier, on peut tirer trois leçons

1. La Cour de Cassation pose que la bonne foi n'est pas un critère pertinent et que, de la même façon que la banque doit réagir lorsqu'un compte bancaire est objectivement anormal, le client doit réagir face à un email manifestement anormal. 

 

2. La Cour de Cassation décrit la répartition des charges de preuve. Les obligations probatoires sont alternativement réparties entre la banque et son client. En premier lieu, la banque doit sécuriser son réseau d'information mais en second lieu le client  doit prendre toute mesure raisonnable pour en préserver la sécurité. Il en résulte que, si l'email reçu par le client semble normal, les dommages du phishing sont à la charge de la banque, et plus généralement de l'entreprise, tandis que s'il est manifestement anormal, ils sont à la charge du client, mais la charge de prouver l'anomalie du courriel incombe à l'entreprise et non au client. 

3. Un tel système probatoire montre que Droit de la Compliance inclut une mission pédagogique en éduquant chaque client afin qu'il soit à même de distinguer au sein de ses emails, ceux qui relèvent d'un caractère normal et ceux qui sont "manifestement suspects". Cette dimension pédagogique, avec les conséquences juridiques qui lui sont attachées, ne va cesser de s'accroitre.

______

9 septembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Liberté & médias: quand le "but" réel de la régulation italienne des médias n'est pas la protection du pluralisme, la liberté d'établissement prévaut (CJUE, 3 Sept.2020,Vivendi) (Freedom&Media: when Italian Media Regulation's real "goal"​ is not Pluralism Protection, Freedom of Establishment prevails (CJEU, 3 Sept.2020,Vivendi)), Newsletter MAFR - Law, Regulation, Compliance, 9 septembre 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Regulation, Compliance

 

Résumé de la news

Le secteur des médias est organisé autour d'un équilibre entre le principe de concurrence et d'autres soucis dont fait partie le pluralisme de l'information. Normalement, la loi de la concurrence en rendant accessible le marché à de nombreux concurrents assure le pluralisme de l'information. Mais, tel n'est pas le cas si un opérateur acquiert un pouvoir de marché excessif, faisant courir un risque non seulement pour la concurrence mais aussi pour le pluralisme de l'information. C'est la raison pour laquelle le système juridique italien interdit la constitution d'un opérateur regroupant plus de 40% des revenus totaux générés par le secteur des médias ou plus de 10% des revenus totaux générés par le secteur de la communication italien. 

En 2016, le groupe de médias français Vivendi a acquis plus de 28% des actions du groupe Mediaset et près de 30% de son droit de vote. L'autorité italienne de régulation des communication, saisie par Mediaset a exhorté en 2017 Vivendi à mettre un terme à ses participations au groupe Mediaset. Vivendi a contesté cette décision devant le tribunal administratif régional qui lui-même s'est référé par voie de question préjudicielle à la Cour de Justice de l'Union européenne afin de savoir si la liberté d'établissement pouvait légitimement être écartée au profit du pluralisme de l'information dans ce cas concret. La Cour de justice a répondu, dans un arrêt du 3 septembre 2020, que la restriction de la liberté d'établissement peut en principe être justifiée par un objectif d'intérêt général tel que la protection du pluralisme de l'information mais que dans ce cas concret, cell-ci n'est pas justifiée puisque le fait qu'une entreprise s'engage dans la transmission de contenus ne lui confère pas nécessairement le pouvoir de contrôler la production desdits contenus. 

On peut tirer trois leçons de ce cas: 

  1. La Cour précise que bien que le principe est la liberté d'établissement, il est possible que celui-ci soit écarté pour protéger le pluralisme de l'information à condition que l'Etat membre en question ne se serve pas de ce pouvoir légitime pour constituer un monopole politique, la charge de preuve incombant à celui qui attaque la législation nationale et non à l'Etat membre. 
  2. La Cour distingue transmission de contenu et production de contenu et explique que si l'Etat membre rejette cette distinction, la charge lui incombe de démontrer les liens concrets entre ces deux activités.
  3. Ce cas montre que le pouvoir de répartir les places respectives du "principe" et de "l'exception" revient toujours aux juges

7 septembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Conflits d'intérêts & "portes tournantes": ce que l'Ombudsman européen a dit en mai 2020, l'autorité bancaire européenne manifestant son accord en août. Trois leçons (Conflict of interests & "revolving doors"​: what the European Ombudsman said in May 2020, the European Banking Authority agreed in August.Three lessons), Newsletter MAFR - Law, Compliance, Regulation, 7 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

Résumé de la news: 

L'impartialité et l'indépendance des autorités de régulation et de supervision est conditionnée au fait que leurs membres n'aient aucun conflit d'intérêt avec le secteur qu'ils régulent ou supervisent. Une telle absence de conflits d'intérêt est nécessaire pour garantir un climat de confiance entre l'autorité en question et les opérateurs. Celle-ci suppose que les membres des autorités de régulation et de supervision ne cumulent pas des fonctions d'opérateur et de régulateur/superviseur durant mais aussi après leur passage dans les autorités de régulation/supervision car l'anticipation d'une embauche prochaine peut influencer les décisions présentes. 

Le 2 août 2019, le directeur exécutif de l'Autorité Bancaire Européenne (ABE) a informé l'autorité dont il était membre de son souhait de devenir PDG de l'Association pour les marchés financiers en Europe (AFME), lobby du secteur financier. L'ABE a approuvé cette perspective. Cependant, "Change finance", une coalition civile, a saisi le médiateur européen faisant valoir qu'une telle réorientation professionnelle créait un conflit d'intérêt inévitable. Le médiateur européen a réagi le 7 mai 2020 par une recommendation en affirmant que bien que l'ABE ait pris des mesures préventives conséquentes, celles-ci ne s'avéraient cependant pas suffisantes au regard des risques encourus. Au sein de cette recommendation, le médiateur européen a également formulé des propositions générales ayant vocation à gérer les risques de conflits d'intérêt à l'avenir:

  • L'interdiction aux cadres supérieurs d'occuper certains postes susceptibles de constituer un conflit d'intérêt avec leur fonction présente, pour une durée de deux ans. 
  • L'information des cadres supérieurs et des candidats aux postes de cadres supérieurs des règles en vigueur. 
  • La mise en place de procédures internes visant à bloquer immédiatement l'accès aux informations confidentielles au membre de l'autorité de régulation/supervision ayant notifié son souhait d'occuper ultérieurement un poste dont on sait qu'il constitue un conflit d'intérêt avéré avec son poste actuel. 

Dans une lettre du 28 août 2020, le président de l'ABE a répondu au médiateur européen qu'il acceptait les remarques et les propositions du médiateur européen. 

De ce cas particulier, on peut tirer trois leçons:

  1. La difficile articulation entre indépendance/impartialité (fondant la confiance) et l'expertise du régulateur/superviseur. Le médiateur européen et l'ABE ont donc convenu qu'une interdiction d'occuper certains postes, si elle devait existait, devait être limitée dans le temps.
  2. La nécessité que chacun puisse anticiper correctement les règles.
  3. La nécessité de préserver la sécurité juridique.

2 septembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Pour réguler ou superviser, des compétences techniques sont requises: exemple de la création du "Pôle d'expertise de la régulation numérique" (For regulating or supervising, technical competence is required: example of the French creation of the "Pôle d'expertise de la régulation numérique"​), Newsletter MAFR - Law, Regulation, Compliance, 2 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Regulation, Compliance

 

Résumé de la news

Par un décret du 31 août 2020, le gouvernement a créé un service à compétence nationale dénommé "Pôle d'expertise de la régulation numérique (PEReN)". Celui-ci a pour but de fournir aux services de l'Etat une expertise technique dans les domaines de l'informatique, de la science des données et des processus algorithmiques afin de les assister dans leur rôle de contrôle, d'enquêtes ou d'étude. L'objectif est de favoriser le partage d'information entre représentants de la recherche et les services de l'Etat en charge de réguler le numérique. 

Comme son acronyme l'indique, ce pôle d'expertise a vocation à manifester de la constance dans un monde en perpétuel changement. Par ailleurs, en plus d'être à compétence nationale, cet organisme s'inscrit dans une dimension transversale, son décret de création ayant été signé à la fois par le Premier ministre, le ministre de l'Economie, le ministre de la Culture et le ministre de la Transition Numérique. La création d'un tel pôle témoigne de la prise de conscience du gouvernement de l'importance de la compétence technique dans la régulation du numérique et de la nécessité de centraliser ces expertises en un seul et même organe. 

Toutefois, comme l'indique le décret, ce pôle d'expertise ne pourra être consulté que par les "services de l'Etat", ce qui exclut les régulateurs qui sont des autorités administratives indépendantes de l'Etat et qui pourraient mettre le pôle d'expertise en conflit d'intérêt s'ils venaient à le saisir et les tribunaux alors même que ceux-ci sont appelés à jouer un rôle central dans la régulation du numérique et qu'ils sont habilités à requérir l'avis du régulateur sur certains dossiers. Mais, si les régulateurs ne peuvent saisir le PEReN, à qui bénéficie-t-il mis à part au législateur et à quelques fonctionnaires?

Il aurait donc mieux fallut que ce pôle d'expertise soit placé sous la direction des organes de régulation et de supervision, ce qui lui aurait permis de pouvoir être consulté à la fois par les régulateurs et par les juges, tous deux acteurs de premier plan de la régulation du numérique. 

2 septembre 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Compliance & Droit souple de la régulation, sécurité juridique et coopération: exemple de la nouvelle ligne directrice de U.S. Financial Crimes Enforcement Network sur la lutte contre le blanchiment d'argent et le financement du terrorisme (Compliance & Regulatory Soft Law, legal Certainty and Cooperation: example of the U.S. Financial Crimes Enforcement Network new Guidelines on AML/FT), Newsletter MAFR - Law, Compliance, Regulation, 2 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

Résumé de la news

Le Financial Crimes Enforcement Network (FinCEN) est un organe, dépendant du Trésor américain, en charge de lutter contre la criminalité financière et particulièrement contre le blanchiment d'argent et le financement du terrorisme. Pour cela, il possède de larges pouvoirs de contrôle et de sanction. 

En août 2020, le FinCEN a publié un document nommé "Statement on Enforcement" ayant vocation a expliciter ces méthodes de contrôle et de sanction. Il y dévoile ce que risquent les entreprises en cas d'infraction (de la simple lettre d'avertissement à la poursuite pénale en passant par l'amende financière) ainsi que les différents critères sur lesquels se fondent le FinCEN pour infliger une sanction plutôt qu'une autre aux entreprises. Parmi ces critères on retrouve par exemples la nature et la gravité des violations commises ou l'ampleur des antécédents de l'entreprise auprès de la FinCEN ou d'autres autorités voisines mais également la mise en place de programmes de compliance ou la qualité et l'étendue de la coopération avec le FinCEN au cours de l'enquête).  

L'un des objectifs de la publication de ce document d'information est d'obtenir la coopération des entreprises en créant une relation de confiance entre régulateur et entreprise régulée. Cependant, il est très difficile de demander aux entreprises de coopérer et de fournir des informations si elles peuvent craindre que ces mêmes informations puissent ultérieurement être utilisées comme preuve contre elles par le FinCEN.

Un autre objectif est de renforcer la sécurité juridique et la transparence. Toutefois, la déclaration de la FinCEN ne paraît pas l'engager, ne se présentant pas comme une charte mais comme une simple déclaration. Effectivement, la liste des sanctions possibles ainsi que celle des critères d'appréciation utilisées par le FinCEN sont loin d'être exhaustives et peuvent être complétées à tout moment par le FinCEN in concreto sans même qu'il ait besoin de se justifier.  

 

31 août 2020

Newsletter MAFR - Law, Compliance, Regulation

Référence complète: Frison-Roche, M.-A., Compliance by design, une arme nouvelle? L'opinion de Facebook à propos des nouvelles dispositions techniques d'Apple pour protéger les données personnelles (Compliance by Design, a new weapon? Opinion of Facebook about Apple new technical dispositions on Personal Data protection), Newsletter MAFR - Law, Compliance, Regulation, 31 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

 

Résumé de la news:

Les données personnelles, en tant qu'elles sont des informations, sont un outil de Compliance. Elle représentent une ressource précieuse pour les entreprises qui doivent mettre en oeuvre un plan de vigilance afin de prévenir la corruption, le blanchiment d'argent ou le financement du terrorisme, par exemples. C'est la raison pour laquelle, les données personnelles sont la pierre angulaire des dispositifs de "Compliance by design". Cependant, l'utilisation de ces données ne peut pas dédouaner l'entreprise de son obligation simultanée de protéger ces mêmes données personnelles, ce qui est également un "but monumental" majeur du Droit de la Compliance. 

Afin de pouvoir exploiter ses données dans un objectif de Compliance tout en les protégeant, l'entreprise numérique Apple a par exemple adopté de nouvelles dispositions telles que l'exploitation de l'IDentifier For Advisers (IDFA) intégré à l'iPad ou à l'iPhone et largement utilisé par les entreprises de publicité ciblée soit conditionnée au consentement du consommateur.  

Facebook a vivement réagi à cette nouvelle disposition d'Apple en expliquant que de telles mesures allaient profondément restreindre l'accès des données aux démarcheurs publicitaires qui verraient ainsi leurs activités limitées. Facebook soupçonne Apple de vouloir bloquer l'accès aux autres entreprises publicitaires dans le but de développer son propre outil publicitaire. Facebook a assuré aux démarcheurs qui travaillaient avec lui qu'ils ne prendraient pas, pour sa part, de telles mesures et qu'il privilégiait toujours la consultation du secteur publicitaire avant ses prises de décisions afin de concilier au mieux les intérêts parfois divergents en présence. 

On peut dors-et-déjà formuler quelques remarques:

  • Le RGPD imposant aux entreprises numériques qu'elles garantissent un niveau de protection minimum des données personnelles ne s'applique pas aux Etats-Unis. Il est donc plus plausible qu'Apple ait agit par Responsabilité Sociale des Entreprises (RSE), plus que par obligation légale.
  • Le mode de régulation utilisé ici est la "régulation conversationnelle" théorisée par Julia Black. Effectivement, les régulateurs laissent les forces en présence "converser".
  • Cette "régulation conversationnelle" ne semble pas très efficace ici et une intervention des autorités administratives ou des juges pourrait se justifier par le biais du Droit de la Concurrence, de la Régulation ou de la Compliance, sachant que le Droit de la Concurrence privilégiera le droit d'accès à l'information et le Droit de la Régulation ou de la Compliance davantage le droit à la vie privée.

Tout le paradoxe du Droit de la Compliance réside donc dans l'équilibre entre circulation de l'information et secret.