► Référence complète : P. Akman, "Regulating Competition in Digital Platform Markets : A Critical Assessment of the Framework and Approach of the EU Digital Markets Act", (2022) 47 European Law Review 85, available at SSRN: https://ssrn.com/abstract=3978625 or http://dx.doi.org/10.2139/ssrn.3978625

____

► Résumé de l'article (fait par les auteurs) : "The European Union’s Digital Markets Act (DMA) initiative, which is set to introduce ex ante regulatory rules for “gatekeepers” in online platform markets, is one of the most important pieces of legislation to emanate from Brussels in recent decades. It not only has the potential to influence jurisdictions around the world in regulating digital markets, it also has the potential to change the business models of the wealthiest corporations on the planet and how they offer their products and services to their customers. Against that backdrop, this article provides an analysis of the aims of and principles underlying the DMA, the essential components of the DMA, and the core substantive framework, including the scope and structure of the main obligations and the implementation mechanisms envisaged by the DMA. Following this analysis, the article offers a critique of the central components of the DMA, such as its objectives, positioning in comparison to competition law rules, and substantive obligations. The article then provides recommendations and proposes ways in which the DMA – and other legislative initiatives around the world, which may take the DMA as an example – can be significantly improved by, inter alia, adopting a platform-driven substantive framework built upon self-executing, prescriptive obligations.".

____

🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche

________

► Référence complète : J.-Ch. Roda, "Un an de droit de la concurrence dans l’univers numérique", Communication - Commerce électronique, n° 10, octobre 2021, chron. "Un an de..." n°11

____

► Résumé de l'article (fait par l'auteur) : "Cette chronique se propose de faire un tour d’horizon de l’actualité du droit de la concurrence, appliqué au secteur du numérique. Plus exactement, il s’agit de dresser un panorama, nécessairement subjectif et partiel, des décisions, jurisprudences ou textes qui ont marqué l’actualité, en France, en Europe, mais aussi aux États-Unis, tant ces questions sont aujourd’hui globalisées. On en veut pour preuve les actions menées contre les plateformes américaines par des plaignants européens, devant différentes juridictions, avec aussi des décisions rendues par les autorités européennes à propos de comportements numériques qui s’avèrent aussi bien mondiaux que difficilement localisables dans l’espace. En procédant à ce tour d’horizon, on constate que l’actualité a été riche, non seulement sur le terrain de la pratique décisionnelle et de la jurisprudence, mais également en ce qui concerne la production normative. On envisagera alors les textes, puis les décisions et jurisprudences importantes, classées selon les types de contentieux, en droit interne, européen ou nord- américain. En somme, le but n’est pas d’être exhaustif : il s’agit plutôt de dessiner les grandes tendances du secteur.".

____

🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche

____

📝consulter une présentation des autres chroniques "Un an de droit de la concurrence dans l’univers numérique" de Jean-Christophe Roda :

• "Un an de droit de la concurrence dans l’univers numérique" (2023)
   
• "Un an de droit de la concurrence dans l’univers numérique" (2022)

________

► Référence complète : Delpech, X. (dir.), L'émergence d'un droit des plateformes, coll. "Thèmes et Commentaires", Dalloz, 2021, 239 p.

____

► Présentation de l'ouvrage en 4ième de couverture : De Uber à Parcoursup en passant par Amazon, le phénomène des plateformes est au cœur de notre vie quotidienne. S’il reflète des réalités diverses, il semble néanmoins possible, d’une plateforme à l’autre, d’observer quelques constantes : toutes sont des dispositifs de mise en relation faisant appel aux nouvelles technologies (internet, un algorithme, etc.).

Les plateformes suscitent cependant de multiples interrogations – et même inquiétudes, compte tenu de la puissance de certaines d’entre elles – auxquels tentent de répondre économistes et bien entendu juristes. Elles constituent ainsi un champ de recherche qui reste encore largement à explorer. Il faudra en particulier s’interroger sur le point de savoir si notre arsenal juridique, y compris européen, est suffisamment armé pour les appréhender, voire même les domestiquer, ou s’il doit être réinventé. Plus profondément, il est légitime de se demander si les plateformes ne sont pas en train de faire émerger une nouvelle branche du droit.

C'est à ces questions que tente de répondre cet ouvrage issu des actes du colloque du 21 octobre 2020 organisé par l'équipe de recherche Louis Josserand de l'Université de Jean Moulin Lyon 3. 

____

► Lire la présentation des articles :

📝Roda, J.-Ch, Vers un droit de la concurrence des plateformes

📝Houtcieff, D., Les plateformes au défi des qualifications

📝Amrani-Mekki, S., Les plateformes de résolution en ligne des différents

📝Douville, Th., Quel droit pour les plateformes ? 

____

►Par un article publié le 13 juillet 2021, "Targeted ads isolate and divide us even when they’re not political – new research"  des chercheurs ayant mené une étude à propos d'intelligence artificielle et d'éthique , rendent compte des résultats obtenus. Il ressort de cette étude empirique montre que les technologies, mises au point à des fins politiques pour capter les votes afin de faire élire Trump ou pour obtenir un vote positif pour le Brexit, utilisées à des fins commerciales, auraient deux effets sur nous : en premier lieu elles nous isolent ; en second lieu elles nous opposent.

____

Le seul lien social qui a donc vocation à avoir serait donc l'agression.  

Certes l'usage ainsi fait de nos informations personnelles, auquel nous "consentons" tous, que cela soit pour obtenir notre adhésion à des discours ou à des produits, casse ce qu'Aristote appelait "l'amitiés" comme socle de la Cité Politique.
L'on mesure que la notion de "consentement", qui est une notion juridique, relativement périphérique dans le Droit des Obligations, que beaucoup voudraient mettre comme l'alpha et l'omega, ne nous protège en rien de cette destruction de nous-même et des autres, de cette perspective de la Cité.
Il est important de penser la régulation de la technologie, sur laquelle est construit l'espace digital sur une autre notion que le "consentement".
C'est pourquoi le Droit de la Compliance, qui n'est pas construit sur le "consentement", est la branche du Droit de l'avenir.
#droit #numérique #amitié #consentement #haine #politique

►   Un article du 3 mars 2021, Smile for the camera: the dark side of China's emotion-recognition tech, puis un article du 16 juin 2021, "Every smile you fake" - an AI emotion - recognition system can assess how "happy" China's workers are in the office décrit la façon dont une nouvelle technologie de reconnaissance émotionnelle est apte, à travers ce qui sera bientôt démodé d'appeler la "reconnaissance faciale", de distinguer un sourire qui traduit un état de satisfaction effective d'un sourire qui n'y correspond pas. Cela permet à l'employeur de mesurer l'adéquation de l'être humain à son travail.  Il est promis qu'il en sera fait usage d'une façon éthique, pour améliorer le bien-être au travail. Mais n'est-ce pas en soi que cette technologie est incompatible avec toute compensation par un accompagnement éthique ? 

____

La technologie élaborée par une entreprise technologique chinoise et acquise par d'autres entreprises chinoises ayant beaucoup d'employés, permet d'avoir de l'information sur l'état d'esprit effectif de la personne à travers et au-delà de ses mimiques faciales et de son comportement corporel.

La technologie de reconnaissance émotionnelle avait été mise au point pour assurer la sécurité, en luttant contre des personnes au projet hostile, les Autorités publiques l'utilisant par exemple dans les contrôles dans les aéroports pour détecter les desseins criminels que pourraient avoir certains passagers.

Il est affirmé ainsi que non pas qu'il s'agit de lutter contre quelques personnes malfaisantes ("dangerosité") pour protéger le groupe avant que l'acte ne soit commis ("défense sociale) mais qu'il s'agit d'aider l'ensemble des travailleurs. 

En effet non seulement l'usage qui en sera fait sera éthique, car en premier lieu les personnes qui travaillent pour ces entreprises chinoises à l'activité mondiale, comme Huawaï, le font librement et ont accepté le fonctionnement de ces outils d'intelligence artificielle (ce qui n'est pas le cas des personnes qui voyagent (le contrôle étant alors un sorte de mal nécessaire qu'ils n'ont pas à accepter, qui leur est imposé pour la sauvegarde du groupe), mais encore et surtout que la finalité est elle-même éthique : s'il s'avère que la personne ne se sent pas bien au travail, qu'elle n'y est pas heureuse, avant même qu'elle ait peut-être conscience, l'entreprise pourra lui venir en aide.

____

Prenons ce cas pratique du côté du Droit et imaginons que cela soit contesté devant un juge appliquant les principes du Droit occidental.

Est-ce que cela serait admissible ?

Non, et pour trois raisons.

1. Un "usage éthique" ne peut pas justifier un procédé en soi non-éthique

2. Les premières libertés sont négatives

3. Le "consentement" ne doit pas le seul principe régissant l'espace technologique et numérique

____

I. UN "USAGE ETHIQUE" NE PEUT JAMAIS LEGITIMER UN PROCEDE EN SOI NON-ETHIQUE

es procédés en eux-mêmes non-éthiques ne peuvent pas être rendus "admissibles" par un "usage éthique" qui en sera fait.

Ce principe a été rappelé notamment par Sylviane Agacinski en matière bioéthique : si l'on ne peut pas disposer de la personne d'autrui à travers une disposition de son corps qui rend sa personne même disponible (v. not. Agacinski, S., ➡️📗 Le tiers-corps. Réflexions sur le don d'organes, 2018). 

Sauf à rendre la personne réduite à la chose qu'est son corps, ce qui n'est pas éthiquement admissible en soi, cela est exclu, et le Droit est là pour que cela ne soit pas possible. 

C'est même pour cela que la notion juridique de "personne", qui n'est pas une notion qui va de soi, qui est une notion construite par la pensée occidentale, fait rempart pour que les êtres humains ne puissent pas être entièrement disponibles aux autres, par exemple par la mise sur le marché de leur corps (v. Frison-Roche, M.-A., ➡️📝Pour protéger les êtres humains, l'impératif éthique de la notion juridique de personne, 2018). C'est pourquoi par exemple, comme le souligne Sylviane Agacinski il n'y a pas d'esclavage éthique (un esclave qu'on ne peut pas battre, qu'il faut bien nourrir, etc.).

Que l'être humain y consente ("et s'il me plait à moi d'être battue ?") n'y change rien.

II. LA PREMIERE LIBERTE EST CELLE DE DIRE NON, PAR EXEMPLE EN REFUSANT DE REVELER SES EMOTIONS : PAR EXEMPLE CACHER SI L'ON EST HEUREUX OU PAS DE TRAVAILLER

La première liberté n'est pas positive (être libre de dire Oui) ; elle est négative (être libre de dire Non). Par exemple la liberté du mariage, c'est avant d'avoir la liberté de se marier, avoir la liberté de ne se marier : si l'on ne dispose pas de la liberté de ne pas se marier, alors la liberté de se marier pert toute valeur. De la même façon, la liberté de contracter suppose la liberté de ne pas contracter, etc.

Ainsi la liberté dans l'entreprise peut prendre la forme de la liberté d'expression, qui permet aux personnes, selon des procédures fixées par le Droit, d'exprimer leur émotions, par exemple leur colère ou leur désapprobation, à travers la grève.

Mais cette liberté d'expression, qui est une liberté positive, n'a de valeur qu'à condition que le travailleur est la liberté fondamentale de ne pas exprimer ses émotions. Par exemple s'il n'est pas heureux de son travail, car il n'apprécie pas ce qu'il fait, ou qu'il n'aime pas l'endroit où il ne fait, ou il n'aime pas les personnes avec lesquels il travaille, son liberté d'expression exige qu'il ait le droit de ne pas l'exprimer. 

Si l'employeur dispose d'un outil qui lui permet d'obtenir l'information quant à ce que le travailleur aime ou n'aime pas, alors celui-ci perd cette liberté première.

Dans l'ordre juridique occidental, l'on doit pouvoir considérer que c'est au niveau constitutionnel que l'atteinte est réalisée à travers le Droit des personnes (sur l'intimité entre le Droit des personnes et le Droit constitutionnel, v. Marais, A.,➡️📕  Le Droit des personnes, 2021).  

III. LE CONSENTEMENT NE DOIT PAS ETRE LE SEUL PRINCIPE REGISSANT L'ESPACE TECHNOLOGIQUE ET NUMERIQUE 

L'on pourrait considérer que le cas de l'entreprise est différent du cas des contrôles opérés par l'Etat pour la surveillance des aéroports, car dans le premier cas les personnes observées ont consenti.

Le "consentement" est aujourd'hui la notion centrale, souvent présentée comme  l'avenir de ce que chacun souhaite : la "régulation" de la technologie, notamment lorsqu'elle prend la forme des algorithmes ("intelligence artificielle"), notamment dans l'espace numérique. 

Le "consentement" permettrait un "usage éthique" et pourrait mettre fonder l'ensemble (sur ces problématiques, v. Frison-Roche, M.-A., ➡️📝Se tenir bien dans l'espace numérique, 2019).

Le "consentement" est une notion sur laquelle le Droit prend aujourd'hui des distances en Droit des personnes, notamment quant au "consentement" donné par les adolescents sur la disponibilité de leur corps, mais pas encore sur le numérique. 

Sans doute parce qu'en Droit des obligations, le "consentement" est quasiment synonyme de "libre volonté", alors qu'il faut les distinguer (v. Frison-Roche, M.-A., ➡️📝La distinction entre la volonté et le consentement, 1995). 

Mais l'on voit à travers ce cas, qui précisément déroule en Chine, le "consentement" est en Droit comme ailleurs un signe de soumission. Ce n'est que d'une façon probatoire qu'il peut constituer une preuve d'une libre volonté ; cette preuve ne doit se transformer en présomption irréfragable.

Les Autorités de Régulation des données (par exemple en France la CNIL) cherchent à reconstituer ce lien probatoire entre "consentement" et "liberté de dire Non" pour que la technologie ne permette pas par des "consentements mécaniques", coupés de tout rapport avec le principe de liberté qui protège les êtres humains, de déposséder ceux-ci (v. Frison-Roche, M.-A., Oui au principe de la volonté, manifestation de la liberté, Non aux consentements mécaniques , 2018). 

Plus la notion de consentement ne sera plus que périphérique et plus les êtres humains pourront être actifs et protégés.

________

► s'inscrire à la Newsletter MaFR ComplianceTech®

► Référence complète : Douville, T., Quel droit pour les plateformes ?, in Delpech, X. (dir.), L'émergence d'un droit des plateformes, coll. « Thèmes et commentaires », Dalloz, 2021, pp.217-239.

_____

► Lire la présentation générale de l'ouvrage dans lequel est publié cet article. 

►Le Droit est lent, mais ferme. Par son arrêt du 15 juin 2021, Facebook , la Cour de Justice de l'Union européenne interprète largement le pouvoir des Autorités nationales, puisqu'il sert la protection des personnes dans l'espace numérique (➡️📝CJUE, 15 juin 2021, Facebook). 

Le reproche de lenteur est si souvent adressé au Droit et à la Justice.  Mais l'essentiel est que, dans le brouhaha de réglementations changeante, il établisse des principes clairs et ferme, permettant à chacun de savoir à quoi se tenir. Plus le monde est changeant et plus le Droit est donc requis.

Quand le Droit dégénèrent en réglementations, c'est alors au Juge de faire le Droit. Les "Cours suprêmes" apparaissent, de jure comme aux Etats-Unis, de fait comme dans l'Union européenne par la Cour de justice de l'Union européenne qui pose les principes, soit avant tout le monde, comme elle le fît pour le "droit à l'oubli" en 2014 (➡️📝CJUE, Google Spain, 13 mai 2014), puis l'impossibilité de transférer vers des pays-tiers des données sans l'accord des personnes concernées (➡️📝CJUE, Schrems, 6 octobre 2015).

Le contentieux Facebook est une sorte de roman. L'entreprise sait que c'est aux juridictions qu'elle parle avant tout. En Europe, elle le fait derrière les murailles de l'espace juridique irlandais, dont elle voudrait pouvoir ne pas sortir avant de mieux dominer l'espace numérique mondial, tandis que les autorités de régulation nationales veulent la saisir pour protéger les citoyens.

Se pose donc une question technique de "compétence juridictionnelle". Les textes y ont pourvu, mais le Droit est malhabile car conçu pour un monde encore ancré dans le sol : le RGPD de 2016 organise donc des coopérations entre Autorités nationales de régulation par un "guichet unique", obligeant les Autorités à se dessaisir pour que le cas ne soit traité que par l'Autorité nationale "chef de file". Cela évite l'éclatement et la contradiction. Mais avant l'adoption du RGPD, le Régulateur belge de protection des données avait ouvert une procédure contre Facebook à propos des cookies. Le mécanisme du "guichet unique", intervenu en 2016, n'est donc évoqué que devant la Cour d'appel de Bruxelles, à laquelle il est demandé de se dessaisir au profit de l'Autorité de Régulation irlandaise, puisque l'entreprise a en Europe son siège social dans ce pays. La Cour d'appel saisit la CJUE en question préjudicielle.

Par son arrêt du 15 juin 2021 (➡️📝CJUE, Facebook, 15 juin 2021), celle-ci suit les conclusions de son Avocat général  maintient la compétence du Régulateur national car, même après le RGPD, le cas supporte encore son traitement national. Retenons la raison. La Cour relève que la règle du "guichet unique" n'est pas absolue et que l'autorité national de régulation peut maintenir sa compétence, notamment si la coopération entre autorités nationale est difficile.

Plus encore, ne faudra pas un jour ajuster plus radicalement le Droit au fait que l'espace numérique n'est pas tenu par des frontières et que l'ambition de "coopération transfrontalière" est mal adaptée ? C'est bien sur ce constat d'inefficacité consubstantielle à l'espace numérique qu'a été conçu et mis en place le Parquet européen, qui n'est pas une coopération, ni un guichet unique, mais bien un organe de l'Union agissant localement pour l'Union, en lien direct avec les soucis de Compliance (➡️📝Frison-Roche, M.-A. "Le Parque Européen est un apport considérable au Droit de la Compliance", 2021 et Frison-Roche, M.-A., Entrée en scène du parquet européen: l'entreprise étant devenue elle-même procureur privé, allons-nous vers une alliance de tous les procureurs?, 2021).

C'est donc de cela qu'il faut s'inspirer.

____

► s'inscrire à la Newsletter MaFR ComplianceTech®

► Droit de la concurrence et concurrence : est-il besoin de légiférer pour construire ? Exemple des quasi-convention d'intérêt public : le Communiqué de l'Autorité de la Concurrence du 3 juin 2021, à propos de Facebook. 

La loi dite "Sapin 2" de 2016, a organisé la "convention judiciaire d'intérêt public -CJIP" qui permet au procureur de s'engager à ne poursuivre contre des engagements de l'entreprise pour le futur. Ce mécanisme est-il réservé à cette loi, qui ne concerne que la corruption et le trafic d'influence ? La réponse est souvent affirmative.

Est-ce si évident ?

Puisque l'organe qui a le pouvoir de poursuivre a donc toujours le pouvoir de ne pas poursuivre. Comme l'entreprise a toujours la liberté de prendre des engagements pour le futur. Et tout s'arrête.

L'actualité en Droit de la Concurrence l'illustre. Le 9 juin 2021, dans le cadre d'une transaction, l'Autorité de la concurrence sanctionne Google , qui n'a pas contesté les faits, pour abus de position dominante pour avoir privilégié ses services dans le secteur de publicité en ligne. Des faits analogues étaient allégués contre Facebook. Mais le 3 juin 2021, l'ADLC a publié un "communiqué" comme quoi Facebook a, au cours de l'instruction, "proposé" des engagements" concernant son comportement futur. Les poursuites s'arrêtent donc. Il est remarquable que ce communiqué sur Facebook soit publié comme "acte de régulation".

Oui, c'est bien un "acte de régulation", portant sur l'avenir et structurant le secteur, internalisé dans l'entreprise qui s'engage dans son comportement futur. Par son communiqué, l'ADLC invite les "acteurs du secteur" à faire des observations, pour l'élaboration de ce qui sera un "programme de compliance".

Dans ces négociations qui s'apparentent à une table de jeu, où chacun calcule s'il entre en négociation ou en affrontement, le premier jeu supposant que l'on montre plus de cartes que le second, c'est bien vers une sorte de CJIP que l'on va face à une Autorité qui est à la fois Juge et Procureur, qui conclut l'accord et, par une décision, lui donne force. Sous les qualifications diverses, c'est bien le même mécanisme général de Droit de la Compliance qui est à l'oeuvre, bien au-delà de la loi dite Sapin 2.

Manié ainsi, le Droit de la Compliance étant un Droit Ex Ante, transforme l'Autorité de la concurrence, qui était une Autorité Ex Post, en Autorité Ex Ante, prenant ouvertement des "actes de régulation", et lui permet de s'appuyer sur la puissance même des entreprises, ainsi "engagées", pour structurer des marchés, qui ne sont pourtant pas régulés. Comme celui de la publicité, ou celui de ladite "grande distribution" (➡️📝 Frison-Roche, M.-A., Du Droit de la Concurrence au Droit de la Compliance : exemple de la décision de l'Autorité de la concurrence à propos de la centrale d'achat entre grands distributeurs, 2020). Ainsi le Droit de la Compliance a réalisé l'autonomie du Droit de la Régulation par rapport à la notion, qui lui paraissait pourtant intime, de "secteur".

► s'inscrire à la Newsletter MaFR ComplianceTech®

Référence complète: CJUE, Grande chambre, Arrêt Facebook Ireland e.a. contre Gegevensbeschermingsautoriteit, C-645-19, 15 juin 2021

Lire l'arrêt

Lire le résumé de l'arrêt produit par la Cour

Lire le communiqué de presse

Référence complète: Frison-Roche, M.-A., "Utilisons la puissance des GAFAMs au service de l'intérêt général!", interview réalisé par Olivia Dufour, Actu-juridiques Lextenso, 11 janvier 2021

Lire l'interview

Pour aller plus loin, notamment sur la logique qui guide le dispositif Avia, voir:

• Frison-Roche, M.-A., "Haine sur internet: il faut responsabiliser les opérateurs numériques", 2020 

• Frison-Roche, M.-A., L'apport du Droit de la Compliance à la Gouvernance d'Internet, rapport remis au Gouvernement, 2019

Référence complète: Zittrain, J. L., "Gaining Power, Losing Control" (Gagner en puissance, perdre en contrôle), Clare Hall Tanner Lecture 2020, 2020

Regarder l'intervention (en anglais)

Lire le compte-rendu de l'intervention (en anglais)

Cette intervention est divisée en deux parties:

• Between Abdication and Suffocation: Three Eras of Governing Digital Platforms (Entre abdication et suffocation: les trois âges de la gouvernance des plateformes numériques)
• With Great Power Comes Great Ignorance: What’s Wrong When Machine Learning Gets It Right (Avec le pouvoir vient l'ignorance: ce qui ne va pas quand l'apprentissage automatique réussit)

► Référence complète : L. Godefroy, "Le numérique", in J.-B. Racine (dir.), Le droit économique au XXIe siècle. Notions et enjeux, LGDJ, coll. "Droit & Économie", 2020, pp. 513-526

____

📕consulter une présentation générale de l'ouvrage, Le droit économique au XXIe siècle. Notions et enjeux, dans lequel cet article est publié 

____

► Résumé de l'article : 

____

🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche

________

Référence complète: Vergnolle, S., L'effectivité de la protection des personnes par le droit des données à caractère personnel, Passa, J. (dir.), thèse, Droit, Université Panthéon-Assas (Paris II), 2020, 531 p.

Lire la thèse

Consulter directement et uniquement la table des matières

Pour aller plus loin sur la question de la régulation des données à caractère personnel, consulter: 

• Frison-Roche, M.-A., Repenser le monde à partir de la notion de donnée, 2016
• Frison-Roche, M.-A., Les conséquences régulatoires d'un monde repensé à partir de la notion de donnée, 2016. 

Référence complète: Frison-Roche, M.-A., Facebook: Quand le Droit de la Compliance démontre sa capacité à protéger les personnes, entretien avec Olivia Dufour, Actu-juridiques Lextenso, 23 novembre 2020

Lire l'interview

Lire la news de la Newsletter MAFR - Law, Compliance, Regulation portant sur cette question

Ce document de travail a servi de base à une interview menée par Olivia Dufour et parue dans Actu-juridiques-Lextenso le 11 janvier 2021.

Référence complète: Frison-Roche, M.-A., "Health Data Hub est un coup de maître du Conseil d'Etat", interview réalisée par Olivia Dufour pour Actu-juridiques, Lextenso, 22 octobre 2020

Lire la news du 19 octobre 2020 de la Newsletter MAFR - Law, Compliance, Regulation sur laquelle s'appuie cette interview: Conditions for the legality of a platform managed by an American company hosting European health data​: French Conseil d'Etat decision 

Pour aller plus loin, sur la question du Droit de la Compliance en matière de protection des données de santé, lire la news du 25 août 2020: The always in expansion "Right to be Forgotten"​: a legitimate Oxymore in Compliance Law built on Information. Example of​ Cancer Survivors Protection 

Référence complète des lignes directrices: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux "cookies et autres traceurs") et abrogeant la délibération n°2019-093 du 4 juillet 2019 

Référence complète de la recommendation: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs". 

Lire les lignes directrices

Lire la recommendation

Lire la présentation de cette recommendation et de ces lignes directrices par la CNIL

🌐suivre Marie-Anne Frison-Roche sur LinkedIn

🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence complète : M.-A. Frison-Roche, "Se tenir bien dans l'espace numérique", in Mélanges en l'honneur de Michel Vivant, Penser le droit de la pensée, Dalloz et Lexis Nexis, 2020, pp. 155-168.

____

📝Lire l'article

____

🚧Lire le document de travail sur lequel cet article est basé, enrichi de développements supplémentaires, de références techniques et de liens hypertextes

► Résumé de l'article : L'espace numérique est un des rares espaces non spécifiquement cadrés par le Droit, liberté qui a aussi pour grave conséquence d'offrir l'opportunité à ses acteurs de ne pas "se tenir bien", c'est-à-dire d'exprimer et de diffuser largement et immédiatement des pensées haineuses, lesquels demeuraient auparavant dans des cercles privés ou restreints. L'intimité du Droit et de la notion juridique de Personne en est atteinte : le numérique permet à des individus ou des organisations d'agir comme des personnages démultipliés et anonymes, acteurs numériques dépersonnalisés porteurs de comportements attentatoires à la dignité d'autrui.

Contre cela, le Droit de la Compliance offre une solution adéquate : internaliser dans les opérateurs numériques cruciaux la charge de tenir disciplinairement substantiellement l'espace numérique. L'espace numérique a été structuré par des entreprises puissantes à même d'y maintenir l'ordre. Parce que le Droit ne doit pas réduire l'espace digital à n'être qu'un simple marché neutre de prestations numériques, ces opérateurs cruciaux, comme les réseaux sociaux ou les moteurs de recherches doit être obligés de contrôler substantiellement les comportements. Il peut s'agir d'une obligation des internautes d'agir à visage découvert, politique de "l'identité réelle" contrôlée par les entreprises, et de respecter les droits d'autrui, droits intimes, dignité, droits de propriété intellectuelle. Dans leur fonction de régulation, les entreprises digitales cruciales doivent être supervisées par des Autorités publiques

Ainsi le Droit de la Compliance substantiellement défini est gardien de la personne comme "sujet de droit" dans l'espace digital, par le respect que les autres doivent en avoir, cet espace passant du statut d'espace libre à celui d'espace civilisé, dans lequel chacun est contraint de se tenir bien. 

______

► Consulter pour aller plus loin : 

• Frison-Roche, M.-A., 📓L'apport du Droit de la Compliance à la gouvernance d'Internet, 2019
• Frison-Roche, M.-A. (dir.), 📕Internet, un espace d'interrégulation, 2016

________

Référence complète: Frison-Roche, M.-A., Répondre à un email contenant de "sérieuses anomalies", transférant des données personnelles, bloque le remboursement par la banque : décision de la Cour de Cassation, 1er juillet 2020 (Responding to an email with "serious anomalies"​,transferring personal data, blocks reimbursement by the bank: French Cour de cassation, July 1st 2020), Newsletter MAFR - Law, Compliance, Regulation, 10 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Le "phishing" est une forme de cybercriminalité visant à obtenir, par des courriels frauduleux ressemblant à ceux pouvant provenir d'organismes légitimes, des informations personnelles du destinataire afin d'usurper son identité et/ou de le voler. Comme il est difficile d'en trouver les auteurs et encore plus de prouver leur intentionnalité afin de les punir directement, un des moyens de lutter contre le phishing peut être de confier la charge aux banques de sécuriser leur réseau d'information et, afin d'assortir cette obligation d'une forte incitation, de les condamner à rembourser les victimes en cas de vol de leurs données personnelles. 

En 2015, un client victime de ce type d'escroquerie a demandé à sa banque, le Crédit Mutuel, de lui rembourser la somme dérobée, ce que la banque refuse de faire au motif que le client avait commis une faute en transférant ses informations confidentielles sans vérifier l'e-mail pourtant grossièrement contrefait. Le tribunal de première instance donne raison au client parce que bien qu'ayant commis cette faute, il était de bonne foi. Ce jugement est annulé par la Chambre commerciale de la Cour de cassation par un arrêt du 1ier juillet 2020, qui pose que cette négligence grave, exclusive de toute considération de bonne foi, justifie l'absence de remboursement par la banque.

___

De ce cas particulier, on peut tirer trois leçons: 

1. La Cour de Cassation pose que la bonne foi n'est pas un critère pertinent et que, de la même façon que la banque doit réagir lorsqu'un compte bancaire est objectivement anormal, le client doit réagir face à un email manifestement anormal. 

2. La Cour de Cassation décrit la répartition des charges de preuve. Les obligations probatoires sont alternativement réparties entre la banque et son client. En premier lieu, la banque doit sécuriser son réseau d'information mais en second lieu le client  doit prendre toute mesure raisonnable pour en préserver la sécurité. Il en résulte que, si l'email reçu par le client semble normal, les dommages du phishing sont à la charge de la banque, et plus généralement de l'entreprise, tandis que s'il est manifestement anormal, ils sont à la charge du client, mais la charge de prouver l'anomalie du courriel incombe à l'entreprise et non au client. 

3. Un tel système probatoire montre que Droit de la Compliance inclut une mission pédagogique en éduquant chaque client afin qu'il soit à même de distinguer au sein de ses emails, ceux qui relèvent d'un caractère normal et ceux qui sont "manifestement suspects". Cette dimension pédagogique, avec les conséquences juridiques qui lui sont attachées, ne va cesser de s'accroitre.

______

Référence complète: Frison-Roche, M.-A., Pour réguler ou superviser, des compétences techniques sont requises: exemple de la création du "Pôle d'expertise de la régulation numérique" (For regulating or supervising, technical competence is required: example of the French creation of the "Pôle d'expertise de la régulation numérique"​), Newsletter MAFR - Law, Regulation, Compliance, 2 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Regulation, Compliance

Résumé de la news

Par un décret du 31 août 2020, le gouvernement a créé un service à compétence nationale dénommé "Pôle d'expertise de la régulation numérique (PEReN)". Celui-ci a pour but de fournir aux services de l'Etat une expertise technique dans les domaines de l'informatique, de la science des données et des processus algorithmiques afin de les assister dans leur rôle de contrôle, d'enquêtes ou d'étude. L'objectif est de favoriser le partage d'information entre représentants de la recherche et les services de l'Etat en charge de réguler le numérique. 

Comme son acronyme l'indique, ce pôle d'expertise a vocation à manifester de la constance dans un monde en perpétuel changement. Par ailleurs, en plus d'être à compétence nationale, cet organisme s'inscrit dans une dimension transversale, son décret de création ayant été signé à la fois par le Premier ministre, le ministre de l'Economie, le ministre de la Culture et le ministre de la Transition Numérique. La création d'un tel pôle témoigne de la prise de conscience du gouvernement de l'importance de la compétence technique dans la régulation du numérique et de la nécessité de centraliser ces expertises en un seul et même organe. 

Toutefois, comme l'indique le décret, ce pôle d'expertise ne pourra être consulté que par les "services de l'Etat", ce qui exclut les régulateurs qui sont des autorités administratives indépendantes de l'Etat et qui pourraient mettre le pôle d'expertise en conflit d'intérêt s'ils venaient à le saisir et les tribunaux alors même que ceux-ci sont appelés à jouer un rôle central dans la régulation du numérique et qu'ils sont habilités à requérir l'avis du régulateur sur certains dossiers. Mais, si les régulateurs ne peuvent saisir le PEReN, à qui bénéficie-t-il mis à part au législateur et à quelques fonctionnaires?

Il aurait donc mieux fallut que ce pôle d'expertise soit placé sous la direction des organes de régulation et de supervision, ce qui lui aurait permis de pouvoir être consulté à la fois par les régulateurs et par les juges, tous deux acteurs de premier plan de la régulation du numérique. 

Référence complète: Frison-Roche, M.-A., Compliance by design, une arme nouvelle? L'opinion de Facebook à propos des nouvelles dispositions techniques d'Apple pour protéger les données personnelles (Compliance by Design, a new weapon? Opinion of Facebook about Apple new technical dispositions on Personal Data protection), Newsletter MAFR - Law, Compliance, Regulation, 31 août 2020

Lire par abonnement gratuit les autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news:

Les données personnelles, en tant qu'elles sont des informations, sont un outil de Compliance. Elle représentent une ressource précieuse pour les entreprises qui doivent mettre en oeuvre un plan de vigilance afin de prévenir la corruption, le blanchiment d'argent ou le financement du terrorisme, par exemples. C'est la raison pour laquelle, les données personnelles sont la pierre angulaire des dispositifs de "Compliance by design". Cependant, l'utilisation de ces données ne peut pas dédouaner l'entreprise de son obligation simultanée de protéger ces mêmes données personnelles, ce qui est également un "but monumental" majeur du Droit de la Compliance. 

Afin de pouvoir exploiter ses données dans un objectif de Compliance tout en les protégeant, l'entreprise numérique Apple a par exemple adopté de nouvelles dispositions telles que l'exploitation de l'IDentifier For Advisers (IDFA) intégré à l'iPad ou à l'iPhone et largement utilisé par les entreprises de publicité ciblée soit conditionnée au consentement du consommateur.  

Facebook a vivement réagi à cette nouvelle disposition d'Apple en expliquant que de telles mesures allaient profondément restreindre l'accès des données aux démarcheurs publicitaires qui verraient ainsi leurs activités limitées. Facebook soupçonne Apple de vouloir bloquer l'accès aux autres entreprises publicitaires dans le but de développer son propre outil publicitaire. Facebook a assuré aux démarcheurs qui travaillaient avec lui qu'ils ne prendraient pas, pour sa part, de telles mesures et qu'il privilégiait toujours la consultation du secteur publicitaire avant ses prises de décisions afin de concilier au mieux les intérêts parfois divergents en présence. 

On peut dors-et-déjà formuler quelques remarques:

• Le RGPD imposant aux entreprises numériques qu'elles garantissent un niveau de protection minimum des données personnelles ne s'applique pas aux Etats-Unis. Il est donc plus plausible qu'Apple ait agit par Responsabilité Sociale des Entreprises (RSE), plus que par obligation légale.
• Le mode de régulation utilisé ici est la "régulation conversationnelle" théorisée par Julia Black. Effectivement, les régulateurs laissent les forces en présence "converser".
• Cette "régulation conversationnelle" ne semble pas très efficace ici et une intervention des autorités administratives ou des juges pourrait se justifier par le biais du Droit de la Concurrence, de la Régulation ou de la Compliance, sachant que le Droit de la Concurrence privilégiera le droit d'accès à l'information et le Droit de la Régulation ou de la Compliance davantage le droit à la vie privée.

Tout le paradoxe du Droit de la Compliance réside donc dans l'équilibre entre circulation de l'information et secret.

Référence complète: Frison-Roche, M.-A., "Interrégulation" entre les systèmes de paiements et la protection des données personnelles: comment organiser cette interaction? ("Interregulation"​ between Payments System and Personal Data Protection: how to organize this "interplay"​?), Newsletter MAFR - Law, Compliance, Regulation, 27 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Le Droit de la Régulation, afin de reconnaître et de tirer les conséquences de la spécificité de certains objets, a au départ été construit autour de la notion de secteur technique bien que la délimitation de ceux-ci relève en partie d'un choix politique. Mais, dans les faits, il existe de multiples points de contact entre ces secteurs, les acteurs se déplaçant de l'un à l'autre tout comme certains objets. La solution régulatoire est donc d'enjamber certaines frontières techniques par la méthodologie de l'interrégulation qui est par ailleurs la seule à permettre la régulation de certains phénomènes dépassant la notion de secteur et relevant donc du Droit de la Compliance.

Cette news prend l'exemple des entreprises fournissant de nouveaux services de paiement. Afin qu'elles puissent délivrer ces services en question, ces entreprises ont besoin d'accéder aux comptes bancaires des personnes concernées et donc à des données personnelles à caractère très sensibles. La régulation d'une telle configuration nécessite donc une coopération entre le régulateur bancaire et le régulateur des données personnelles. La législation n'étant pas suffisante pour organiser en Ex Ante cette interrégulation, l'European Data Protection Board (EDPB et régulateur européen des données personnelles) a publié des lignes directrices le 17 juillet 2020 sur la manière dont elle concevait l'articulation entre le PSD2 (directive européenne sur les services de paiement) et le RGPD (Règlement Général pour la Protection des Données) et annonçait qu'elle comptait élargir le cercle de ces interlocuteurs pour opérer cette interrégulation. Une telle initiative de la part de l'EDPB se justifie par l'incertitude quant à la manière d'interpréter ces deux textes et de les articuler l'un avec l'autre. 

Référence complète: Frison-Roche, M.-A., Est-ce que la régulation des discours de haine et des fausses informations est une obligation légale imposée aux entreprises du numérique ou est-ce l'expression de leur volonté libre de contribuer à la démocratie? (Is Regulating Hate and Infox a legal obligation imposed to the Digital Enterprises or the expression of their free will to contribute to Democracy?), Newsletter MAFR - Law, Compliance, Regulation, 14 août 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Internet permet d'accéder à des connaissances élargies mais rend également plus facile la diffusion de fausses informations et de discours de haine. Malheureusement, les pouvoirs publics ne peuvent pas savoir qui diffusent ces fausses informations et ces discours de haine et ne sont donc pas en mesure de lutter efficacement contre cela. Une solution serait d'obtenir des entreprises numériques qu'elles trouvent le moyen d'endiguer ces fausses informations et ces discours de haine qu'elles contribuent structurellement à propager. 

Les entreprises numériques s'appliquent déjà à cela et notamment Facebook qui prévoit de sensibiliser ses utilisateurs américains en vue des élections présidentielles de 2020. Cependant, les entreprises numériques expliquent que si elles luttent contre les fausses informations et les discours de haine, c'est uniquement par responsabilité sociale des entreprises (RSE). Or, même s'il s'agit d'un calcul pour obtenir une bonne réputation et éviter les actions de boycott, cela reste une volonté de l'entreprise qui n'est donc ni contrainte de réussir, ni même d'agir. 

La solution proposée par le Droit de la Compliance est de faire de cet effort une obligation légale en internalisant dans les opérateurs cruciaux que sont les entreprises numériques le "but monumental" de lutter contre les fausses informations et les discours de haine afin que les entreprises numériques soient tenues d'agir et qu'elles soient supervisées par des autorités publiques dans cette tâche. La loi à venir sur les services numériques imposera aux entreprises numériques des obligations Ex Ante tandis que la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l'information impose déjà aux opérateurs de plateformes une obligation légale de "coopérer" dans la lutte contre les fausses informations. 

​Pour aller plus loin, lire: 

• Frison-Roche, M.-A., Lorsque Facebook "invite" chaque internaute à agir contre le COVID-19 en le dirigeant vers le Centre Public d'Information, est-ce par obligation légale (Compliance) ou par RSE? Avec quelles conséquences?, document de travail, 2020
• Frison-Roche, M.-A., Se tenir bien dans l'espace numérique, document de travail, 2020