Facebook : Quand le droit de la compliance démontre sa capacité à protéger les personnes

Actu-Juridique : Lorsque, devant le président du Tribunal de l’Union européenne, Facebook s’oppose à la demande d’information de la Commission par l’argument que celle-ci touche à des données sensibles de ses salariés, de quoi parle-t-on exactement ?

Marie-Anne Frison-Roche : Comme la plupart des autorités de concurrence dans le monde, la Commission européenne a ouvert des procédures à l’encontre des  entreprises qui structurent l’espace digital, principalement fondées sur le grief d’ abus de position dominante. L’issue de ces procédures qui se déroulent sur des années dépend en grand partie de la mise en œuvre des règles probatoires. Le principe de l’Etat de Droit fait reposer la charge de preuve des faits reprochés sur l’autorité de poursuite, ici la Commission européenne. Mais le moyen de preuve peut être un raisonnement économique, valant présomption, ou bien des témoignages, ou des aveux. Le Droit économique a affûté son système probatoire pour obtenir efficacement des preuves, par exemple les témoignages via les programmes de clémence, ou la portée accordée à des présomptions, ou la place des « tests », qui sont des reconstitutions hypothétiques de situations. L’idée est toujours d’alléger la charge de preuve mais celle-ci demeure bien sur l’autorité de poursuite. L’un des moyens efficaces est donc la procédure de communication de pièces.

La Commission européenne a donc demandé à Facebook de lui communiquer des milliers de courriels (plus de 80.000) pour y rechercher trace de faits reprochables pour nourrir ses allégations.  Facebook a prétendu être en droit de s’y opposer en grande partie, car ils contiennent des informations touchant à la vie privée de ses employés.  Le président du Tribunal de l’Union européenne saisi en référé par Facebook a donc dû examiner  la nature des informations dont la transmission est exigée, au regard non seulement des principes de procédure mais encore du Droit des données, constatant en effet que certains courriels étaient relatifs à des obsèques, ou que d’autres contenaient des propos très personnels sur des collègues de travail.

Il a donc estimé que certaines informations excédaient le « cercle pertinent » des informations dont la Commission européenne a légitimement besoin pour rechercher les faits reprochés. Dans son appréciation mesurée des faits et allégations des deux parties, le juge a certes considéré que la Commission européenne était en droit d’user de son pouvoir de rechercher la vérité par l’obtention des informations, mais il a pris soin de rappeler qu’elle devait respecter dans cette procédure de communication les droits de la défense de l’entreprise poursuivie comme elle y serait contrainte dans une procédure plus formelle d’inspection. Ainsi le Président du Tribunal remet chacun à sa juste place, la Commission de la concurrence, qui cherche légitimement des preuves, et Facebook, qui veut légitimement protéger la vie privée de ses employés. Mais surtout, car un juge doit toujours « décider », comme le rappelait Pierre Drai, il trouve une solution, inventant une procédure efficace de communication de courriels sans violation de la vie privée.

Actu-Juridique : Comment cette procédure visant à concilier pouvoirs d’enquête de la commission et protection de la vie privée des salariés de Facebook s’organise-t-elle ?

MAFR : Le Président du Tribunal accepte la création d’une data room virtuelle.  Facebook va y transférer les courriels demandés, qui seront analysés par les enquêteurs de la Commission, en présence de représentants de Facebook et de ses avocats. Si ceux-ci estiment qu’un document retenu par les agents de la Commission aurait dû n’être pas conservé par eux parce que de nature personnelle et sensible et que les deux demeurent en désaccord, Facebook pourra se tourner vers le Directeur de l’information, de la communication et des médias de la DG Concurrence de la Commission européenne. Il faut souligner que le juge fait donc à juste titre pleine confiance à la Commission car pour lui, et pour reprendre une distinction familière aux processualistes, si la Commission est » partie à l’instance », elle n’est pas « partie au litige ». Autrement dit, les agents de l’autorité de poursuite n’ont pas de motif personnel pour arriver à une condamnation de Facebook, ils font des recherches probatoires pour constituer la base d’une allégation de violation des textes. Certes, dans une vision plus suspicieuse, l’on pourrait préférer une procédure d’examen et de filtre des courriels qui ne soit pas entre les mains de l’Autorités de poursuite, mais mieux plutôt d’un tiers arbitre. Encore faut-il en trouver qui impose son autorité à la Commission et il convient de reconnaître que le Tribunal a déjà fait une place forte aux droits de la partie poursuivie. Par cette procédure de résolution du désaccord qu’il a mis en place, qui s’apparente à un recours hiérarchique, voire à une transformation du directeur de l’information en juge gracieux, le Tribunal a déjà dessiné le « cercle » des informations captables, au-delà desquels l’autorité de poursuite ne peut pas piocher sans buter sur le Droit de protection des données à caractère personnel. Qui vient fortement renforcer les garanties de procédure.

Actu-Juridique : En tant que spécialiste de Droit de la compliance quel est l’intérêt de cette décision à vos yeux ?

MAFR : Elle est très éclairante. Dans l’économie de l’information qui est en train de se construire, le Droit de la Compliance est apte à appréhender des espaces qui ne sont plus contenus dans des frontières géographiques, notamment l’espace digital. Dans celui-ci, l’activité même est la collecte, la centralisation et la reconstitution des micro-informations à travers ces nouveaux objets que sont les « data ».  L’enjeu consiste à réguler cette économie du savoir en décidant ce qui peut être collecté et ce qui ne le peut pas en fonction de la nature – sensible ou non, personnelle ou non – des données concernées.

La décision du Tribunal de l’Union dans l’affaire Facebook montre que le Droit de la Compliance est capable de le faire. En effet, la Commission européenne est légitime à exiger la transmission des données pour connaître des faits contraires au Droit s’ils révèlent un comportement anticoncurrentiels, l’entreprise devant donner à voir le soin qu’elle prend à respecter le Droit. En cela les mécanismes classiques procéduraux et le Droit de la Compliance sont en miroir. Mais en même temps le Droit de la Compliance exclut la transmission des données à caractère sensible ou/et à caractère personnel : c’est sur le double fondement des droits de la défense de Facebook et du RGPD pour ses employés que le Tribunal a modéré les pouvoirs de l’autorité de poursuite. L’on oppose parfois les garanties de procédure (qui relèveraient d’un Etat de Droit qui serait aujourd’hui menacé par la Compliance) et le Droit de la Compliance (qui serait régi par l’efficacité et dont la violence abimerait notamment les droits de la défense). C’est inexact car le Droit de la Compliance, branche construite sur la protection des personnes, conçoit l’information soit pour la donner soit pour la retenir, dans le même esprit et de la même façon que le fait le Droit processuel.  Ce cas en est le parfait exemple.