Les fiches récentes

22 août 2019

Sur le vif

En matière de Compliance, il y a deux sujets à la fois très importants et très incertains : celui de l'admission ou non des technologies de reconnaissance faciale ; celui de la forme et et de la place du "consentement" quelque soit la technique de captation, conservation et utilisation de l'information. 

Le cas soumis à l'Autorité suédoise de protection des données (Datainspecktionen) et rapporté par la presse, croise les deux. 

I. LE CAS

Une école suédoise doit en application de la loi nationale faire l'appel de chaque élève à chaque cours. Une Ecole supérieur a calculé que cette tâche, qui incombe donc à chaque enseignant en début de cours, représente un nombre d'heures important, qui pourrait être mieux utilisées par ceux-ci. Elle demande donc à une entreprise de technologie, Tieto, de développer pour elle des technologies qui redonnent aux enseignants leur temps. 

L'entreprise Tieto conçoit un programme pilote, comprenant un procédé de reconnaissance faciale par la pupille de l'oeil, comptant ainsi les élèves présents. Les 21 élèves qui suivent le programme pilote apportent leur consentement express pour l'ensemble des technologies utilisées, notamment celle-ci.

Mais en février 2019 l'Autorité suédoise de surveillance, d'inspection et de protection des données poursuit l'entreprise qui a fourni cette technologie et l'école qui en a bénéficié pour violation du Réglement européen dit "RGPD".

L'école se prévaut du consentement libre et éclairé qui lui a été apporté par les élèves, tandis que le fournisseur de la technologie justifie l'usage de celle-ci par le fait qu'ainsi l'équivalent de 10 emplois à plein temps sont annuellement économisés pour des tâches mécaniques. 

 

II. LA SOLUTION

Ces moyens n'ont pas convaincu l'Autorité.

Sur la question de l'efficacité du procédé, il ne semble pas même y être répondu, car tous ces mécanismes sont à l'évidence performants, car la protection des personnes est sans conteste coûteuse.

Mais sur la question du consentement, il est mentionné que le moyen tiré du consentement des élèves n'est pas retenu en raison du fait qu'ils n'étaient pas autonomes de l'établissemnt bénéficiaire de la technique de reconnaissance et qu'à ce titre le consentement n'avait donc pas de portée.

L'usage de cette technique est donc interdicte. 

Mais l'Autorité ne se contente pas d'une interdiction. Elle indique qu'il convient, puisque les opérateurs en sont encore au stade d'un programme pilote d'ensemble de trouver ce que l'Autorité appelle un mode de contrôle des présences "moins intrusifs", car c'est en tant que l'ensemble prenait les élèves dans leur environnement toute la journée que cela n'était pas admissible. 

 

III. LA PORTEE

Ce n'est pas donc une décision de principe.

C'est plutôt une décision d'espèce, en raison des circonstances qui vont que d'une part le consentement ne traduisait pas une volonté libre. Si les élèves n'avaient pas été ce que l'Autorité appelle la "dépendance" de l'établissement, alors sans doute leur acceptation de ces contrôles aurait eu de la portée.

S'il faut trouver un principe, il est par déduction celui-ci : le "consentement" n'est pas une notion autonome, suffisant à elle-seule à valider les technologies au regard du RGPD. Ce n'est qu'en tant qu'elle traduit une "volonté libre" que le "consentement" a pour effet de soumettre la personne qui l'émet à une technologie qui pourtant la menace autant qu'elle la sert. 

C'est bien ce lien entre "consentement" et "volonté" que le RGPD veut garantir. C'est bien ce lien - de nature probatoire -, le consentement devant être la preuve d'une volonté libre, que le dispositif de Droit de la Compliance veut protéger. 

Dès lors, si l'émetteur du consentement est dans une situation de dépendance par rapport à l'entité qui bénéficie de la technologie (par exemple et en l'espèce l'école qui fait des économies grâce à la technologie, sans que cela n'apporte rien à l'élève), la présomption comme quoi son consentement est la preuve d'une volonté libre est brisé : c'est pourquoi le consentement ne peut plus valider l'usage de la technologie. 

Sur la question du rapport entre le "consentement" et la "volonté" : v. Frison-Roche, M.-A., Oui au principe de la volonté, manifestation de la liberté, non aux consentements mécaniques, 2019.

-----

 

19 août 2019

Sur le vif

Lorsque les systèmes juridiques s'agressent, se durcissent et que, faute d'ordre juridique mondial, il n'existe pas le tranchant du juridictionnel pour résoudre efficacement le conflit, c'est alors le "droit souple" qui permet de sortir de l'impasse. 

Ainsi la technique juridique des embargos est un mauvais usage du Droit de la Compliance en ce qu'elle permet à un pouvoir politique local d'utiliser la force de son système juridique pour satisfaire un but d'intérêt local, à savoir bloquer son ennemi particulier en lui donnant un effet global, touchant ainsi des sujets de droit qui n'ont pourtant pas de rattachement avec son Droit et son intérêt particulier!footnote-127

A cet usage illégitime de la force du Droit de la Compliance, particulièrement net en matière d'embargo, le Droit international classique ne peut que répondre!footnote-128

Lorsque le Droit classique manque de voie, le Droit que l'on dit "souple" prend le relais. 

C'est ainsi que la Commission Européenne a adopté le 30 juillet 2019 une Recommandation relative aux programmes de conformité aux fins de contrôles des échanges de biens à double usage 

On y mesure comment le Droit de la Compliance peut pallier les faiblesses du Droit international public. 

En effet, les "biens à double usage" sont ceux qui peuvent être utilisés aussi bien à des fins civiles que militairers. Ils sont donc particulièrement concernés lorsqu'ils y a des embargos décrétés. Tout à la fois l'Europe est légitime à refuser, par exemple concernant l'Iran, que les Etats-Unis aient en 2018 unilatéralement par la voix de leur Président détruit l'action concertée (JCPOA) mais il demeure que la fourniture de biens pouvant par nature se préter à un usage militairer, notamment le nucléaire appeler un contrôle. 

C'est en cela que le Droit de la Compliance, en internalisant dans les sociétés productrices, intermédiaires et fournisseurs de ces biens, dont l'usage possible requiert une régulation,  est la solution. En s'appuyant sur le Réglement de 2009, une discipline à portée globale peut ainsi être obtenue, alors même que les institutions internationales publiques ont été attaquées par le Président des Etats-Unis.

Cette recommandation de 2019, constitue une internalisation plus forte par rapport à ce qu'il est convenu d'appeler "l'Arrangement de Wassenaar" de 2011 qui avait déjà précisé la façon dont le Réglement communautaire de 2009 régit l'exportation par des entités de biens, logiciels ou technologies à double usage pour qu'ils ne conduisent pas à favoriser ou accroitre la masse des armes de destruction massive.  

Il s'agit bien d'une technique de Compliance, puisque la Commission européenne garde pour l'Union l'apanage de fixer le but, ici la préservation des êtres humains d'une perspective de massacre, tandis qu'elle en laisse expressément la "responsabilité" aux opérateurs eux-mêmes, dont elle dénie par ailleurs pas l'utilité en tant qu'ils sont producteurs et fournisseurs de ces biens. 

Plus encore, la Commission européenne insiste sur le fait que l'utilisation de l'entreprise pour permettre à l'Europe de lutter contre le développement à l'étranger des armes de destruction massive peut se développer sur des instruments déjà présents dans les entreprises, comme des codes de conduite déjà élaboré et une "culture de conformité" déjà répandue au sein du groupe!footnote-129, y compris auprès de personne n'étant pas directement en charge de l'exportement des biens et produits à double usage. 

Mais, et là encore l'on retrouve un raisonnement propre au Droit de la Compliance, c'est au regard du "l'usage final" de ces biens, logiciels et technologies que la fourniture doit cesser, et de cette exigence posée par l'Autorité publique c'est l'entreprise qui en est responsable.  Celle-ci doit par un "programme de conformité" adéquat et efficace, déjà présent et à infléchir ou à compléter ou bien à construire à cette fin, connaître cet "usage final", c'est-à-dire savoir par avance la finalité de l'opération économique, pour appliquer dès l'origine la finalité protectrice du dispositif.

Ce raisonnement qui repose sur la confrontation des deux finalités, celle poursuivie par le texte et celle poursuivie par l'acte examiné (ici la transaction internationale) se retrouve pareillement dans tout le Droit de la Compliance concernant les données qui tout à la fois circulent librement et pourtant ne peuvent être utilisées dans un but contraire à la protection d'une personne concernées par celles-ci. 

De la même façon, ces recommandations spécifiques à l'exportations des biens, logiciels et technologies à double usage insistent sur la nécessité d'une formation profonde et continue à tous les salariés de toutes les règles applicables, ainsi que sur l'importance d'un suivi critique  et analytique de toutes les transactions, y compris et par exemple de tous les détournements dont elles pourraient faire l'objet. On retrouve sur un objet particulier ce qui est demandé dans toutes les organisations de Compliance. 

On retrouve dans ces recommandations comme un reflet du Droit général de la Compliance (que l'on retrouve également dans la loi dite "Sapin 2") dans le paragraphe suivant :

Veillez à ce que les salariés se sentent en confiance et rassurés lorsqu'ils soulèvent des questions ou notifient de bonne foi leurs inquiétudes relatives à la conformité.

Établissez des procédures d'alerte éthique et de remontée de l'information régissant les mesures que peuvent prendre les salariés en cas d'incident, suspecté ou avéré, de non-conformité en matière d'échange de biens à double usage. Les tiers peuvent également bénéficier de cette option.

Documentez par écrit tous les soupçons de violation de la législation nationale et de l'Union relative au contrôle des biens à double usage, ainsi que les mesures correctives connexes.

En cela, le Droit de la Compliance est à la fois de principe et requiert une analyse au cas par cas. Plus encore, en cela le Droit de la Compliance est à la fois un Droit très contraignant et pourtant libéral : le commerce est libre mais les entreprises sont instituées de force gardienne de l'usage qui est fait des biens qui circulent afin que certains usages en soient exclus, ici la destruction massive des êtres humains. 

C'est ainsi qu'avant d'exposer comment les entreprises concernant gagneront à suivre la Recommandation pour construire leur "programme de conformité" (avec par exemple un "manuel de conformité"), la Commission européenne expose d'une façon préliminaire et générale :

Le document d'orientation fournit un cadre permettant d'aider les exportateurs à détecter, à gérer et à atténuer les risques associés au contrôle des échanges de biens à double usage ainsi qu'à assurer la conformité avec la législation et la réglementation pertinentes des États membres et de l'Union.

(6)

Il confère également un cadre visant à épauler les autorités compétentes des États membres dans leur analyse des risques et dans l'exercice de la responsabilité qui leur incombe de prendre des décisions relatives aux autorisations d'exportation individuelles, globales ou générales nationales, aux autorisations de services de courtage, au transit de biens à double usage non communautaires ou aux autorisations de transfert, au sein de la Communauté, de biens à double usage figurant sur la liste de l'annexe IV du règlement (CE) no 428/2009.

(7)

Le document d'orientation devrait être non contraignant; les exportateurs continuent à assurer la responsabilité qui leur incombe de satisfaire aux obligations définies dans le règlement, tandis que la Commission devrait veiller à ce que le document demeure pertinent au fil du temps,

 

Mais ce n'est parce que le transfert de responsabilité a été ainsi opéré que l'entreprise qui se "conforme" aux recommandations n'y gagne rien en sécurité juridique. Ce point demeure très délicat. Mais, dans des termes qui rappellent ceux utilisés par la Commission des sanctions de l'Agence Française Anticorruption dans sa récente décision, la recommandation formule que l'entreprise qui s'y conforme, même si elle n'y était pas contrainte et même si cela ne la soustrait pas à toute responsabilité Ex Post, bénéficie ainsi d'une sorte de présomption. La Commission l'exprime en ces termes : 

"La structure des éléments clés pourrait faciliter l'évaluation comparative des méthodes de conformité adoptées par ces entreprises. Toute stratégie d'une entreprise à l'égard de la conformité qui inclut des politiques et des procédures internes se rapportant, à tout le moins, à l'ensemble des éléments clés, est a priori conforme au document d'orientation de l'Union européenne sur les PIC aux fins du contrôle des échanges de biens à double usage. Pour les entreprises qui sont en train d'élaborer une stratégie de conformité applicable aux échanges de biens à double usage, la structure des éléments clés fournit une ossature élémentaire et générique sur laquelle s'appuyer.".

 

Ce document de "droit souple" qui peut apparaître comme limité à un champ très restreint, la vente internationale des biens à usage double, n'est qu'un exemple du raisonnement général que l'on peut retrouver dans tous les autres cas, raisonnement concret qui met au centre du dispositif le souci de l'être humain lointain.

Ici celui qui aurait été exposé à la mort si la vente avait été faite ; dans d'autres cas celui que le Droit de la Compliance prend en charge dans la lutte contre les médicaments contrefaits ou la lutte contre le changement climatique. 

18 août 2019

Sur le vif

Le journal Les Echos nous le raconte. 

Une personne physique sort le 15 août 2019 un rapport négatif sur une grande société cotée, General Electric (GE) en critiquant la façon dont celle-ci a évalué des risques liés à des titres financiers d'assurance qu'elle possède.

Cette personne, en diffusant une telle information, lance donc une alerte. Comme toute information, elle se répand immédiatement sur les marchés financiers. 

Cela peut être un document comme un autre, chacun pouvant publier ce qu'il veut sur ce qu'il observe et formuler une opinion sur ce qu'il voit, anticipant telle ou telle conséquence. 

Mais il se trouve que l'auteur est Harry Markopols.

Non pas que celui-ci soit particulièrement suivi pour des titres prestigieux (universitaires, etc.) ou des fonctions (régulateur ou juge, etc.), mais il se trouve qu'il avait révélé le comportement dissimulé - c'est le moins que l'on puisse dire - de Madoff. 

Les marchés non seulement l'accréditent immédiatement du fait qu'il ait révélé une nouvelle "dissimulation" et en tirent la conséquence : le titre GE perd 10 %, parce que l'information qu'avait donnée GE sur son risque est désormais considérée comme fausse puisque celle donnée par Harry Markopols est considéré comme vraie.

Le cas est intéressant en ce que quelques jours ont suffi pour reprendre en cause ce scénario. Ce terme est sans doute adéquat en ce que le "lanceur d'alerte" correspond à un "personnage" de films plus qu'à une catégorie juridique. Et l'on en voit ici les inconvénients. 

Ils sont ici de deux ordres. Le premier est le rythme qui fait que le "lancement" est immédiat, le dommage avéré, et que plus que jamais l'absence de catégorie juridique du lanceur d'alerte, personnage romantique et désintéressé ce qui ne renvoie à rien dans un système juridique qui a la sagesse de n'avoir pas ce romantisme, permet à n'importe qui de nuire. La solution française qui contraint à l'alerte interne montre sa supériorité. Car ce n'est pas tant de qualification juridique de la personne que de procédure dont nous avons besoin que de procédure. Or, pour l'instant de procédure à suivre avant de publier des "rapports" sur des entreprises, il n'y en a pas.

I. L'INCONVENIENT DE L'ABSENCE DE DEFINITION DU LANCEUR D'ALERTE DANS LE SYSTEME DE COMMON LAW

Conforme à sa tradition de Common Law, le Droit américain a fait connaissance avec le lanceur d'alerte à travers des cas, le cas Enron étant l'un des plus fameux. Il s'agit dond d'un héros.

A une époque où l'on recherche chez les super-héros le modèle du manager parfait, où l'on présente le lanceur d'alerte parfois comme un martyr, où de nombreux biopics sont consacrés à sa gloire, l'enfermer dans un statut serait comme l'étrangler. 

C'est donc dans sa pleine liberté que le lanceur d'alerte extrait l'information que personne n'a, que l'entreprise veut dissimuler, que chacun pourtant gagnerait à avoir, et la donne à tous. Dans cette époque en quête de religiosité, il y a du Saint-Sébastien dans ce lanceur d'alerte contre lequel les Etats et les entreprises lancent tant de fléches, tandis que les réseaux sociaux le soutiennent.

Mais ici le problème technique qui apparaît est celui de la fiabilité de l'information. Car personne n'est en mesure techniquement de mesurer s'il y a eu ou non sous-évaluation des risques liés à ces produits... En Droit, et selon un principe général, ce qu'affirment les mandataires sociaux est présumé exact jusqu'à ce que l'inexactitude en soit démontrée. Or, ici l'exactitude de la dénégation par le lanceur a été créditée pendant quelques heures, uniquement par un effet de réputation.

Il a suffi que l'on apprenne qu'il a été payé par un opérateur de marché pour écrire ce rapport destructeur pour que les comportements s'inversent : le cours cesse d'être attaqué et devienne soutenu.

Comme le souligne à juste titre l'article des Echos, cela ressemble à une manipulation de cours et l'Autorité des marchés financiers, la Securities & Exchanges Commission (SEC) va certainement ouvrir une enquête.

Mais suffit-il d'être payé par un fonds pour cesser d'être pertinent ?

Non, ce qui est mis en doute c'est le rapport lui-même, dont la méthodologie - d'après ce qu'en rapporte l'article de presse - n'est pas suffisamment fiable.

Or, nous sommes ici confronté à un problème de temps : les marchés financiers sont si rapides qu'ils font directement à la conclusion des rapports sans en vérifier les prémisses, comme les analystes (car les marchés ne "lisent" pas) vont directement aux résultats des sociétés sans en lire les rapports de gestion. 

Si l'on ne peut donc calmer les marchés financiers dont la fulgurance participe beaucoup de l'aveuglement, ici rattrapé par le seul fait que ce qui est perçu comme un conflit d'intérêt entraîne une reprise en mains de l'ensemble des fonds, il faudrait imposer une procédure.

 

II. L'ADEQUATION D'UNE PROCEDURE AFIN DE DIFFUSER SUR LE MARCHE DES INFORMATIONS

Dans le monde digital, l'on commence à percevoir la nécessité de donner un statut aux personnes qui ont de "l'influence" sur les autres : "l'influenceur"

Le lanceur d'alerte participe de cette même catégorie très vaste et vague d'influenceurs, dont la parole a un effet sur les comportements, des investisseurs, des consommateurs, de l'opinion publique. Cela peut être problématique si ce qu'il dit n'est pas vrai, ou vraisemblable, ou le résultat d'une méthodologie sérieuse.

Or, rien dans le Droit américain ne le requiert. 

L'on pourrait en Ex Post rechercher sa responsabilité, ce qui est une compensation insatisfaisante puisque le dommage pourra avoir été grand. Sauf à trouver des personnes ou entités qui, derrière ce personnage finalement peu idylliques, auraient mené un abus de marché. Mais quel chemin probatoire à parcourir....

Dès lors, la solution retenue par la France, pourtant souvent critiquée, est bien la meilleure : contraindre celui qui veut laisser l'alerte à saisir les mandataires sociaux s'il veut bénéficier du régime juridique du lanceur d'alerte, c'est-à-dire le fait de ne pas répondre des conséquences dommageable de ses révélations, même si elles s'avéraient par la suite infondées (car une alerte ne suppose pas une démonstration complète de faits avérés).

S'il s'agit de comptes, ces faits devraient être portées à la connaissance des auditeurs, car ce sont eux qui sont en titre pour s'inquiéter, eux-mêmes contraints par des cercles de personnes alertées, de présentations financières et comptables de risques ne correspondant pas à la réalité.

Ces cercles sont des conditions procédurales qui permettent un déploiement mesuré de la puissance de ce personnage par ailleurs nécessaire qu'est le lanceur d'alerte.

Si on les respecte pas, les poursuites en abus de marché et en responsabilité vont se multiplier.

_____

 

 

 

14 août 2019

Sur le vif

Le Droit de la Compliance, comme le Droit de la Régulation dont il est un prolongement, est un Droit Ex Ante.

Il se traduit dans un ensemble d'obligations que les entreprises doivent exécuter pour que des comportements dommageables ne se produisent pas, par exemple des corruptions, du blanchiment d'argent, de la pollution, etc. 

Il en résulte des obligations "structurelles", comme l'établissement d'une cartographie des risques, un dispositif de vigilance sur des tiers liés, des contrôles internes, l'adoption de codes. 

La question pratique qui se pose est de savoir si pour sanctionner une entreprise, il faut mais il suffit que l'entreprise n'ait pas adopté ces mesures structurelles, ou bien s'il faut aussi qu'en son sein ou à travers les personnes dont elle doit répondre (à travers les mandataires sociaux et les salariés, mais aussi les fournisseurs, les sous-contractants, les opérateurs financés, etc.) il y a eu les comportements que le Droit de la compliance a pour fin d'éviter, par exemple une corruption, un blanchiment d'argent, une pollution, un accident lié à la sécurité, etc.

La question est de nature probatoire. Son enjeu pratique est considérable.

Car pour obtenir la condamnation l'autorité de poursuite devra démontrer non seulement une défaillance dans le dispositif structurel mais encore une défaillance comportementale. 

Si l'on considère que le Droit de la Compliance est à la fois sur l'Ex Ante et sur l'Ex Post, alors l'autorité de poursuite qui requiert une sanction doit démontrer qu'il y a un comportement reprochable (Ex Post) et qu'à cela correspond une défaillance structurelle (par exemple le compte bancaire anormal n'a pas été signalé) ; si l'on considère que le Droit de la Compliance est purement en Ex Ante, alors même s'il n'y a pas de comportement reprochable en Ex Post, la seule défaillance structurelle suffit pour que l'entreprise qui doit l'organiser en son sein soit sanctionné.

Le second système, beaucoup plus répressif et qui fait porter sur les entreprises une charge considérable même s'il n'y a pas de comportement illicite démontré, est celui du Droit français, sans doute par une tendance vers l'organisation Ex Ante....

Mais il faut garder mesure. Et cette mesure est probatoire.

C'est ce que vient de dire la Commission des sanctions de l'Agence Française Anticorruption, dans sa décision du 4 juillet 2019, SAS S. et Madame C., contredisant la position de son directeur, qui agissait comme autorité de poursuite. Preuve une nouvelle fois de l'autonomie de la Commission des sanctions par rapport à l'Autorité administrative dont elle fait partie, et par rapport à son directeur qui pourtant gouverne celle-ci. Mais, modèle juridictionnel oblige, il a ici le statut d'autorité de poursuite, est soumis au régime de celle-ci et non pas au régime de chef de l'ensemble.  Manifestation de "l'autonomie fonctionnelle" des organes de sanction au sein des Autorités administratives de Régulation et de Compliance. 

En effet, cette décision importante exprime avec précision et raison la répartition de la "charge de l'allégation" et de la "charge de la preuve" sur l'organe de poursuite et sur l'entreprise poursuivie, ainsi que le rôle de présomption que peuvent y jouer les recommandations émises par l'Autorité française anticorruption.

Lire l'analyse ci-dessous. 

 

7 août 2019

Sur le vif

 

La filiale de General Electric (GE) spécialisée dans le digital, GE Digital l'explique clairement dans une déclaration du 6 août 2019

L'entreprise expose que les entreprises du secteur de l'énergie sont soumises à de très nombreuses exigences, dont la violation est très coûteuse aux opérateurs assujettis.

GE Digital, en tant qu'elle connaît la spécificité du secteur, l'énergie, et en tant qu'elle maîtrise les techniques digitales, a la solution : la Compliance par l'automatisation du respect de la réglementation spécifique régissant ce secteur-là.

Il s'agit explicitement "d'automatiser l'inspection, le contrôle et la négociation" pour écarter le "risque de compliance".

Est-ce vraiment ainsi qu'il faut concevoir la Compliance ? 

____

 

Une conception automatique de la Compliance, conçue comme un "risque" pallié par un process aveugle

Oui, si l'on ne voit dans les règles applicables qu'un amas de "réglementation", dont on "risque" d'en manquer une, comme on manque une marche en descendant un immense escalier, sans fin, aux millions de marche, escalier sans début et sans fin. 

C'est sans doute la façon dont beaucoup se représente la "réglementation" applicable à un secteur.

Dès lors, le risque ne serait pas dans le secteur, risque que le Droit a pour mission de diminuer en Ex Ante, en organisant par exemple la sécurité des personnes et en faisant en sorte que les accidents n'arrivent pas, que les blacks out ne se produisent pas ; non, comme le dit l'article, le risque serait dans la Compliance elle-même ! 

Le risque serait dans le fait de ne pas respecter ces process vides de sens et sans fin, auxquels l'on ne comprend rien car il n'y a rien à comprendre. 

L'idée est donc de diminuer ce qui est expressément qualifié de "risque de compliance"....

Dans une vision totalement mécanique de la réglementation, la solution serait alors de mettre en place des machines : des algorithmes qui vont activer les corrélations entre les process suivis par l'entreprise et les normes réglementaires stockées dans la mémoire des ordinateurs. Comme tout cela est vide de sens, il n'est pas besoin d'êtres humains par exemple pour l'interprétation des injonctions : il suffit de "suivre".

Ainsi, les "regtechs" n'ont pas besoin de juriste pour lutter contre les "risques juridiques", puisque le sens des prescriptions n'est pas recherché. 

Il suffirait alors effectivement qu'une entreprise du secteur ait la capacité technologique de stockage des textes et de corrélation entre ceux-ci et les process mis aveuglement en place par les entreprises, pour que la sécurité revienne.

Mais cette définition-là ne peut pas tenir.

 

La Compliance renvoie à un Droit, sujet à interprétation, qui doit être internalisé dans l'entreprise non seulement par des algorithmes mais encore et avant tout par des êtres humains, pour lesquels le Droit de la Compliance est fait.

 

 

La filiale de General Electric (GE) spécialisée dans le digital, GE Digital l'explique clairement dans une déclaration du 6 août 2019

L'entreprise expose que les entreprises du secteur de l'énergie sont soumises à de très nombreuses exigences, dont la violation est très coûteuse aux opérateurs assujettis.

GE Digital, en tant qu'elle connaît la spécificité du secteur, l'énergie, et en tant qu'elle maîtrise les techniques digitales, a la solution : la Compliance par l'automatisation du respect de la réglementation spécifique régissant ce secteur-là.

Il s'agit explicitement "d'automatiser l'inspection, le contrôle et la négociation" pour écarter le "risque de compliance".

Est-ce vraiment ainsi qu'il faut concevoir la Compliance ? 

____

 

Une conception automatique de la Compliance, conçue comme un "risque" pallié par un process aveugle

Oui, si l'on ne voit dans les règles applicables qu'un amas de "réglementation", dont on "risque" d'en manquer une, comme on manque une marche en descendant un immense escalier, sans fin, aux millions de marche, escalier sans début et sans fin. 

C'est sans doute la façon dont beaucoup se représente la "réglementation" applicable à un secteur.

Dès lors, le risque ne serait pas dans le secteur, risque que le Droit a pour mission de diminuer en Ex Ante, en organisant par exemple la sécurité des personnes et en faisant en sorte que les accidents n'arrivent pas, que les blacks out ne se produisent pas ; non, comme le dit l'article, le risque serait dans la Compliance elle-même ! 

Le risque serait dans le fait de ne pas respecter ces process vides de sens et sans fin, auxquels l'on ne comprend rien car il n'y a rien à comprendre.  Il s'agirait d'appliquer à la règle les règles d'inspection et de contrôler, d'éliminer l'humain (toujours faillible) afin que par la suite plus rien ne soit reprochable à l'entreprise (car la machine est infaillible) :

"Leveraging GE Digital’s strong integration capabilities to Enterprise Asset Management (EAM) systems, APM Integrity’s Compliance Management uses data from an EAM to automatically generate an inspection plan based on the regulatory code that applies to the equipment. This streamlines the inspection planning process, allowing planners to take more of a review-and-approve role as opposed to a manual, planning-and-scheduling process. If a regulated piece of equipment does not have an inspection plan in place, users are automatically notified – providing a layer of protection that ensures inspections are not missed, which could result in a fine from regulators in the event of an audit". 

L'idée est donc de diminuer ce qui est expressément qualifié de "risque de compliance"....: "GE Digital Launches New Capabilities to Automate Inspection Planning and Mitigate Compliance Risk". 

Dans une vision totalement mécanique de la réglementation, la solution serait alors de mettre en place des machines : des algorithmes qui vont activer les corrélations entre les process suivis par l'entreprise et les normes réglementaires stockées dans la mémoire des ordinateurs. Comme tout cela est vide de sens, il n'est pas besoin d'êtres humains par exemple pour l'interprétation des injonctions : il suffit de "suivre".

Ainsi, les "regtechs" n'ont pas besoin de juriste pour lutter contre les "risques juridiques", puisque le sens des prescriptions n'est pas recherché. 

Il suffirait alors effectivement qu'une entreprise du secteur ait la capacité technologique de stockage des textes et de corrélation entre ceux-ci et les process mis aveuglement en place par les entreprises, pour que la sécurité revienne.

Mais cette définition-là ne peut pas tenir.

Non que les machines soient inutiles ou néfastes, mais elles ne peuvent suffire. Or, elles sont parfois présentées en matière de Compliance comme constituant une solution compléte, permettant d'éliminer l'être humain, lequel était lui la source de tous les soucis.... Or, non seulement la définition mécanique de la Compliance ne peut pas tenir techniquement, mais par ce déplacement de l'humain vers la seule machine elle devient alors néfaste. 

 

La Compliance renvoie à un Droit, sujet à interprétation, qui doit être internalisé dans l'entreprise non seulement par des algorithmes mais encore et avant tout par des êtres humains, pour lesquels le Droit de la Compliance est fait.

En effet, ce qui présentait comme une réglementation unique et plane est en réalité un système juridique hiérarchisé, dont le sens évolue et interagit. Ainsi et par exemple une norme constitutionnelle de Compliance, par exemple l'indépendance, l'impartialité, la loyauté, qui convergent dans la gestion des conflits d'intérêts - pan conséquent de la Compliance -, n'ont pas la même portée que les textes qui portent sur la même question mais ont des décrets, voire du "droit souple".

En outre, la lettre d'un texte permet de connaître son sens. Mais c'est aussi sa finalité et son contexte qui lui donnent son sens. La Cour de justice de l'Union européenne, Cour dont les arrêts sont décisifs en matière de Compliance, le rappelle régulièrement.  Cela, une machine ne peut pas le "savoir", puisqu'un objet ne sait rien, pas plus que la suite de chiffres qu'est l'algorithme. 

Enfin, le Droit de la Compliance peut se définir comme la nouvelle branche du Droit qui intègre dans des entreprises, par exemple celle du secteur énergétique, des finalités et des valeurs qui portent sur l'humanité et son futur, par exemple l'environnement. C'est avant tout dans les êtres humains qui constituent les entreprises concernées qu'il faut le faire comprendre.

Car le Droit est fait pour les êtres humains ; ce ne sont  pas les êtres humains qui sont faits pour suivre ce que dicteraient les machines, comme le disait Portalis. 

Mécaniser les humains, ce que produirait une vision si mécanique de la Compliance irait à l'encontre de toutes les nouvelles conception de ce qu'est l'entreprise, exprimait par la loi PACTE du 22 mai 2019. 

5 août 2019

Sur le vif

Les jeux sont un secteur régulé : le désintéressement ("l'amour du sport" étant le principe) et la place de l'argent pourtant centrale le requiert. 

Le Droit de la Régulation qui tient en équilibre le principe de compétition basé sur le désir de s'enrichir, dont le montant d'argent acquis par les uns et les autres, et un autre principe, ici le désir d'être en compétition pour le seul plaisir de l'être, est particulièrement requis, puisque le sport est donc construit sur un oxymore ! 

S'y ajoute le mécanisme des paris qui constituent un marché, lui-même adossé à une activité sportive que l'on continue à présenter comme une activité non-commerciale. 

L'ouvrage sur Régulation et jeux d'argent et de hasard (2018) a montré les enjeux de régulation, notamment parce que les paris ont mondialisé les activités sportives, même locales.

Mais par nature et depuis toujours les Jeux Olympiques sont par essence mondiaux. Or, ils sont "autorégulés". 

Par une organisation concentrique, le Comité International Olympique qui siège à Lausanne organise l'ensemble des Jeux et notamment choisit parmi les Comités nationaux ceux qui, parmi les candidats, organiseront jeux olympiques d'hiver et jeux olympiques d'été. 

Comme tout mécanisme autorégulé, tel qu'on le trouve par exemple dans les grandes entreprises, le Comité International Olympique a édicté une Charte Olympique, qui exprime dans sa lettre "l'esprit" des jeux olympiques, leur caractère désintéressé, la solidarité, l'envie d'entrer en compétition prévalant sur l'envie de gagner. L'on mesure ici la distance avec les principes de la compétition concurrentielle, où la compétition n'est qu'un moyen pour gagner et non pas une fin en soi. 

Les Comités nationaux reprennent ses principes directeurs qui ont présidé à la création même des Jeux Olympiques. 

En tant que cette énorme machinerie constitue une sorte d'ordre juridique autonome, comportant notamment son propre système de règlement des litiges, le CIO estime que ces principes constitutifs sont premiers pour les Comités nationaux qui ne seraient que des sortes de démembrements du Comité International Olympique.

Mais en tant qu'un Comité national est par ailleurs et par un même effet de nature inséré dans un système juridique national, il relève de celui-ci.

Il en est ainsi du Comité Olympique italien qui relève ainsi, par un double effet de pyramide et de l'obligation de respect les lois italiennes et de l'obligation de respect la Charte du Comité olympique.

Or, un projet de loi a été déposé devant le Parlement italien permettant au Gouvernement de modifier par décret l'organisation du Comité Olympique National Italien (CONI)

Le Comité International Olympique a écrit au Comité Olympique Italien pour lui indiquer que son indépendance par rapport au Gouvernement est requise et qu'il ne doit relever pour son organisation que de lui-même et de sa seule soumission au Comité International. Le CIO demande donc au président du CONI d'obtenir les amendements pour que son indépendance ne soit pas ainsi affectée. 

Mais le 6 août 2019, le Parlement italien a adopté la loi sans modification. 

La situation est donc celle d'une contradiction entre deux pyramides normatives, d'un côté celle d'un ordre normatif classique, qui permet à un Législateur de conférer au pouvoir réglementaire d'exercer une emprise sur une structure qui lui est inférieure dans la hiérarchie des normes, et de l'autre côté celle d'un ordre normatif autorégulé, qui permet à l'organe international faîtier d'imposer des principes quasi-constitutionnels imposant l'indépendance de ce même organe par rapport aux organes étatiques nationaux. 

Sans doute une juridiction peut-elle trancher un tel cas, mais comme on le sait en matière de Droit de la Régulation c'est bien le Droit qui se dit "souple" qui est le plus violent.

En effet, immédiatement le CIO a indiqué qu'il allait tenir à Lausanne une "réunion" avec le CONI pour "régler la question".

C'est poser que la prévalence est donner au système autonome de l'autorégulation, puisque les organes étatiques ne semblent pas y être conviés. L'on peut penser que ceux-ci ne tiendront pas compte de ce qui s'y dira...

Mais ce serait ne pas tenir compte de l'article 27.9 de la Charte olympique qui permet au CIO de "prendre toute mesure appropriée pour la protection du Mouvement olympique dans le pays d'un Comité national olympique". Y figure "la suspension ou le retrait d'un tel CNO si la Constitution, la législation, ou d'autres réglementations en vigueur dans ce pays .... on pour effet d'entraver l'activité du CNO".

Or, le Comité national italien a été désigné pour l'organisation de jeux olympiques d'hiver en 2026. Et si ce Comité est suspendu ou exclu, le choix ne peut plus être maintenue. 

Ce qui affectera le pouvoir politique, qui a adopté la loi ...., et l'amener à modifier son texte. 

Dans ce Droit si "souple" qu'il ressemble à un partie de bras de fer, tranchant un litige en réalité entre le CIO et l'Etat italien, hors la présence de celui-ci et hors toute procédure, nous ferons qui en sortira gagnant;

En tout cas, l'autorégulation ne fonctionne correctement que s'il n'y a pas d'opposition ou de dysfonctionnement. Cela montre sa distance par rapport au Droit, mécanisme qui n'existe qu'en considération de possibles conflits, sa forme éveillée. 

_____ 

 

5 août 2019

Sur le vif

Le numérique est non seulement un nouveau monde mais il a transformé le monde (v. une démonstration dans ce sens, Frison-Roche, M.A., L'apport du Droit de la Compliance dans la gouvernance d'Internet, rapport au Gouvernement, juillet 2019).. 

Ainsi, il ne faut pas toujours mettre dans le même panier même si l'expression est euphonique les "GAFAM". Alors que certaines entreprises proposent des prestations seulement immatérielles, comme le font Facebook ou Google, à savoir la mise en contact, d'autres ont des activités matérielles. Amazon assure la livraison d'objets matériels, dont il assure le stockage par exemple, tandis qu'Uber se charge du transport des personnes. Certes, cette entreprise dénie cette réunion et assure ne s'occuper que de la mise en relation, mais le Droit a requalifié son activité, qui est bien de nature matérielle.

L'on peine alors à trouver une unité à ces entreprises, en dehors du fait qu'elles sont américaines, que leur puissance parait aussi soudaine qu'inégalée, leur déploiement mondial et qu'elles paraissent "indispensables" à des milliards d'individus.

Parce que beaucoup de vendeurs considèrent qu'ils ne peuvent toucher de potentiels acheteurs que par la voie numérique, que celle-ci a pour teneur de marché principal l'entreprise Amazon, que celle-ci a édicté des conditions de vente qui privent ces vendeurs de nombreuses protections, le Bundeskartellamt a ouvert d'office le 28 novembre 2018 une procédure d'abus de position dominante contre Amazon

L'acte pris par le Bundeskartellamt le 17 juillet 2019 à propos d'Amazon et avec "l'accord d'Amazon", en échange de quoi la procédure entamée pour une possible sanction d'un possible abus de position dominante s'est arrêtée.

Le Droit de la concurrence en Ex Post est échangée contre un programme de Compliance qui dépasse les pouvoirs d'une Autorité de concurrence et la portée territoriale de celle-ci. Cela ne pose pas problème, puisque c'est "l'acceptation" que l'entreprise en fait qui fait naître l'effet obligatoire et non plus la loi qui a mandaté l'Autorité de la concurrence.

Voilà un exemple de la transformation remarquable du Droit de la concurrence, qui dépasse largement la question du numérique. En 6 mois, la poursuite se transforme en accord. Qui apparaît comme un diktat de l'Autorité, portant sur le futur, obligeant à un comportement notamment procédural différent. 

Lire ci-dessous l'analyse. 

30 juillet 2019

Sur le vif

L'Europe est décidément la zone du monde dans laquelle la protection des personnes se pense.

Elle le fait par des textes, dont le très fameux Réglement adopté en 2016 relative à la protection des personnes physiques à l'égard du traitement à caractère personnel et à la libre circulation de ces données, dit "RGPD", recopié par exemple en Californie par la loi du 12 juillet 2018, par des initiatives nationales, comme la prochaine loi française contre les discours de haine dans l'espace numérique, par de nombreuses études et rapports - le droit souple étant aussi importante que le Droit pénal en Droit de la Compliance, mais encore par des décisions de justice.

Les décisions de justice ont été à l'origine du mouvement de protection de la personne, par la création prétorienne d'un "droit à l'oubli" par la décision Google Spain de 2014 de la Cour de Justice de l'Union européenne. 

L'arrêt que la CJUE a rendu le 29 juillet 2019, Fashion ID, est tout aussi important.  Comme le précédent, il tranche nettement une question essentielle : qui doit faire la police des consentements dans l'espace numérique.

Et la réponse est : tous les acteurs numériques qui en tirent profit.

Il en résulte donc un "intermaillage" (sur cette notion qui est l'avenir du Droit de la Compliance dans le numérique, v. Frison-Roche, M.-A., L'apport du Droit de la Compliance dans la Gouvernance d'Internet2019).

Voir ci-dessous l'analyse de l'arrêt.