L’efficacité de la compliance illustrée par l’affaire YouPorn

Dans sa décision du 7 avril 2022, le président de l’Autorité de la régulation de la communication audiovisuelle et numérique (Arcom) constate que la majorité légalement exigée pour accéder à un site à contenu pornographique se concrétise pour le site « YouPorn » par un clic sur une case d’affirmation par l’internaute de sa non-minorité. Estimant la mesure insuffisante, il a donné 15 jours au site pour se mettre en conformité.  Pour Marie-Anne Frison-Roche, agrégée des facultés de droit, directrice du Journal of Regulation & Compliance (JoRC), une telle décision illustre parfaitement l’efficacité de la compliance. Elle met également en lumière l’attention portée à la réalité du consentement. 

Actu-Juridique : Dans sa décision du 7 avril 2022, le président de l’Autorité de la régulation de la communication audiovisuelle et numérique (Arcom) donne 15 jours au site YouPorn pour renforcer sa procédure permettant d’interdire l’accès de ses contenus aux mineurs. Ce type de décision a-t-il réellement un impact sur des groupes américains aussi puissants ?

Marie-Anne Frison-Roche : Tout à fait ! Voilà un excellent exemple de l l’efficacité de la compliance, puisque c’est l’entreprise elle-même, ici celle tenant la plateforme, qui doit installer, peut-être en l’inventant, la technologie qui permettra le contrôle efficace de l’âge de l’internaute. C’est donc l’opérateur qui assure que la loi française atteigne son but. Et le fait que l’entreprise soit américaine est indifférent. La protection effective des enfants est un but monumental de la compliance, en ce que cette branche du droit vise à concrétiser en ex ante cette prétention : non pas seulement punir le site une fois l’enfant abîmé par la pornographie mais l’empêcher, grâce à l’entreprise, d’y accéder. Le législateur français a posé que la pornographie est néfaste pour les mineurs, soutenus en cela par des études unanimes. L’article 227-24 du Code pénal punit donc de trois ans d’emprisonnement et 75 000 euros d’amende lorsqu’un contenu pornographique est accessible à un mineur. Mais l’ex post ne suffit pas : la loi confie désormais aux sites la fonction de mettre en place des mesures efficaces pour contrôler l’âge des internautes qui accèdent à leurs contenus. Or sur YouPorn il suffit de cliquer sur la mention comme quoi l’on n’est pas mineur pour entrer. Bien sûr les enfants cliquent… Dans sa décision, le président de l’Arcom estime le dispositif insuffisant. Il exige donc du site qu’il « se conforme au Code pénal ». Pour cela, parce qu’en droit de la compliance l’autorité publique fixe le but et l’entreprise choisit les moyens, supervisée par l’autorité qui apprécie leur efficacité, la décision laisse au site YouPorn la liberté de trouver lui-même la solution opérationnelle pour un contrôle effectif. L’opérateur est sans doute d’ailleurs le seul à en avoir la compétence technique. Il s’agit d’une obligation de moyens et non pas de résultat, car il y aura toujours des enfants qui arriveront à déjouer les contrôles, mais il faut un dispositif technique crédible visant à atteindre le but monumental – ici la protection des mineurs par l’entrave à l’accès -, l’Arcom estimant donc que le système simplement déclaratif n’était pas crédible.

Actu-Juridique : Et si YouPorn ne s’exécute pas ?

MAFR. : C’est précisément ce qu’il s’est passé. Il peut y avoir de la mauvaise volonté mais aussi des difficultés techniques et juridiques. En effet le droit de protection des données personnelles peut contrarier la connaissance directe et effective de l’âge des internautes. Les cartes bancaires ne sont pas toujours un indice fiable car beaucoup de mineurs en sont titulaires et beaucoup de contenus sont gratuits. Mais il suffit d’obliger les sites à un contrôle plus contraignant, quitte à perdre des clients. Faute d’avoir présenté des solutions de mise en conformité, ce site a été assigné, avec 4 autres, par l’Arcom devant le juge judiciaire. Le régulateur demande au juge le blocage d’accès aux sites pour tout internaute français, ordre en étant donné aux fournisseurs d’accès. L’audience se tiendra le 1^er juillet 2022. Le droit de la compliance est un droit à portée extraterritorial, touchant un opérateur américain, que l’on peut ainsi bloquer. Certes les opérateurs étrangers peuvent se replier sur leur marché, mais le marché français et européen est composé de clients très connectés et solvables et peu d’entreprises peuvent s’offrir le luxe de s’en retirer parce que le droit français de la compliance ne leur plaît pas.

Actu-Juridique : On a souvent le sentiment que ces requêtes d’âge ou de consentement sont un peu formelles, est-ce à dire que le mécanisme se perfectionne ?

MAFR : En effet, on le voit d’une façon plus générale avec l’application du RGPD, qui vise à ce que le consentement ne soit pas mécanique mais exprime véritablement la libre volonté de la personne. Dans l’espace numérique et s’agissant par exemple de la politique des cookies, l’internaute, informé des données le concernant que le site capte, utilise et transfére, peut désormais choisir : tout accepter, tout refuser, ou bien choisir ses options. Plus généralement encore, dans tous les domaines où intervient la compliance, la reconnexion entre le consentement et la volonté, lien somme toute classique, s’opère grâce aux décisions des régulateurs et des juges. Ainsi, on ne se contente plus d’un silence ou d’un oui manifesté par un simple clic pour considérer que la volonté a été librement exprimée : l’opérateur doit de plus en plus s’assurer d’un consentement effectif, démontrant la volonté libre et éclairée de l’internaute.

Actu-Juridique : Le défaut de ce système, c’est qu’il introduit un formalisme assez lourd et fait obstacle à la fluidité des nouvelles technologies…

MAFR : Oui, les critiques sont nombreuses en effet. Cela infantiliserait les internautes, la circulation des échanges s’en trouverait ralentie, un tel système imposerait en permanence de préconstituer des preuves de consentements effectifs, l’on risquerait à chaque instant de se retrouver devant un juge… Mais n’est-ce pas un mouvement de balancier après une période où les personnes faibles, silencieuses, ne comprenant pas ce qui arrivait, dépouillées par les plus puissants, n’ont pas été protégées ? Une fois que les opérateurs eux-mêmes auront inventé les technologies de protection des plus faibles, l’on reviendra au juste milieu. Attendons cet heureux moment. On prétend souvent qu’Internet serait un lieu de non-droit, mais ces exemples montrent qu’il n’en est rien.  La disposition de l’article 227-24 du Code pénal ici appliqué date de 2020. Par ailleurs,  le règlement européen Digital Services Act en cours d’adoption révolutionne le droit en obligeant les opérateurs à civiliser eux-mêmes l’espace numérique. Le travail articulé entre régulateurs et juges impose à l’espace numérique qui est désormais notre quotidien une nouvelle culture de compliance, qui redonne vie au droit classique qui pose la liberté des personnes et protège les individus.

À paraître : M.-A. Frison-Roche (dir.), Les buts monumentaux de la compliance, Journal of Regulation & Compliance et Dalloz. Septembre 2022