Professeur de droit économique à l’Institut d’études politiques de Paris, Marie-Anne Frison-Roche est spécialiste du droit de la régulation dont elle a contribué à fonder la doctrine en France. Organisé en quatre chapitres, le rapport dont elle est l’auteur commence par caractériser ce qui fait la spécificité du « monde digital ».
Le « monde digitalisé » s’est construit sur le « principe de liberté d’entreprendre » sans l’assortir d’aucun autre principe susceptible de l’équilibrer, au premier rang desquels celui de « la personne », qui n’est pas reconnue à sa juste place au sein de la société. Ce déséquilibre entre le principe de liberté d’entreprendre et celui de la reconnaissance du droit des personnes fait réagir les États et les législateurs, dont le premier réflexe est de tenter de restreindre la liberté des entreprises qui ont bâti leur modèle sur la maîtrise des données. Si la démarche est vaine, c’est que, selon le rapport, les normes ne devraient pas s’attacher à restreindre la liberté des entreprises, mais plutôt à garantir le respect du « principe de personne », afin d’assurer un rééquilibrage entre ces deux enjeux fondamentaux. Pour Marie-Anne Frison-Roche, « l’être humain n’est pas protégé d’une façon générale par l’invention juridique qui le constitue comme une « personne » », c’est-à-dire dire comme un titulaire actif et passif de droits et d’obligations ».
Le deuxième chapitre décrit l’apport du droit de la compliance (conformité en français) à la régulation des acteurs du web. Le droit de la compliance consiste non pas « à diminuer la puissance des entreprises qui ont construit le monde digital », mais à s’appuyer sur ces dernières pour leur imposer cet autre « principe de personne ». Selon le rapport, le droit de la compliance peut être défini comme « l’internalisation dans certains opérateurs de l’obligation de se structurer pour concrétiser des buts qui ne leur sont pas naturels, buts qui sont fixés par des autorités publiques qui ont en charge le futur des groupes sociaux, buts que ces entreprises doivent de gré ou de force viser à concrétiser, du seul fait qu’elles sont en position de les atteindre ».
Indissociable du droit de la régulation et du droit de la concurrence, le droit de la compliance vise à répondre aux décalages entre l’activité de grands acteurs du web ayant fondé leur modèle sur la maîtrise et l’exploitation des données, notamment personnelles, et la régulation dont ils pourraient faire l’objet sans pour autant sacrifier le principe même de liberté d’entreprendre sur lequel le numérique s’est bâti depuis trente ans.
Plutôt que de tenter de réguler a posteriori les grands acteurs du web, que le rapport appelle « opérateurs numériques cruciaux », dont le cœur de métier consiste à capitaliser sur les données de leurs clients et utilisateurs, le droit de la compliance propose cette solution originale de faire intégrer par ces mêmes acteurs, « un « but monumental », celui de la protection des personnes », qu’ils seraient d’ailleurs les seuls capables de mettre en place, c’est-à-dire de faire respecter.
Les deux chapitres suivants évoquent des solutions pragmatiques et présentent 55 propositions concrètes pour mettre en œuvre ce droit de la compliance.
Le droit de la compliance n’est pas un droit créé ex nihilo, mais devrait s’appuyer sur un ensemble de règles disparates à l’échelle européenne, dont des textes novateurs sont déjà en application, notamment dans les domaines de la banque, de la finance et des données personnelles.
Après avoir rappelé que le droit américain et le droit européen n’étaient pas contradictoires et qu’ils étaient fondés sur les mêmes valeurs occidentales, Marie-Anne Frison-Roche rappelle combien la notion de données diverge entre l’Europe et les États-Unis. Alors que le droit américain a développé une approche abstraite de la donnée, le droit européen s’est toujours attaché à en avoir une conception concrète, « construite sur le « caractère » de la donnée (par exemple « à caractère personnel » »), qui implique non plus des » appropriations » des données en masse, mais au contraire des principes de disponibilité ou d’indisponibilité suivant ce qui la « concerne » ».
C’est d’ailleurs la raison pour laquelle « le principe de personne », absent du droit américain en tant que principe absolu, devrait autoriser l’Europe à cesser de transmettre des données à l’étranger, y compris aux États-Unis, « dès l’instant qu’il s’agit de protéger la « personne concernée » ».
Le rapport énonce enfin une série de propositions concrètes tenant à l’internalisation par le droit de la compliance du principe de la personne dans les législations européennes, dont le « droit à l’oubli » est l’exemple le plus emblématique. La primauté des données de la personne sur leur valeur commerciale devrait devenir « la formulation renouvelée de la « culture européenne » ».
Ces propositions ne passeraient pas par d’importants chantiers juridiques mais devraient recourir au « droit souple » et à la jurisprudence. Pour que les opérateurs numériques rompus à la liberté d’entreprendre adopte le droit de la compliance, le rapport préconise de faire jouer à ces opérateurs « un rôle de régulateur de second niveau » tout en les dotant des pouvoirs nécessaires « pour exécuter leurs obligations générales nouvelles ».
Ces régulateurs de second niveau feraient l’objet d’une supervision institutionnelle européenne par la direction générale des réseaux de communication, du contenu et des technologies (DG CONNECT), service de la Commission européenne chargée de la politique de l’Union européenne concernant le marché unique numérique, la sécurité des réseaux, la science et l’innovation numérique, et seraient investis de pouvoirs propres tout en les soumettant « aux obligations, notamment d’impartialité, inhérentes au statut de « régulateur », aujourd’hui juridiquement stabilisé ».
L’apport du droit de la compliance à la gouvernance d’internet, Marie-Anne Frison-Roche, rapport commandé par le ministre chargé du numérique, avril 2019.