Gouvernance d’internet : « Nous sommes face à un enjeu de civilisation »

Les Petites Affiches 

Vous avez remis votre rapport au gouvernement sur « L’apport du droit de la compliance à la gouvernance d’internet », pouvez-vous nous expliquer qui vous l’a commandé et pourquoi ?

Marie-Anne Frison-Roche 

L’exécutif est pleinement conscient de deux choses. D’un côté, la nécessité de construire « L’Europe de la compliance ». D’un autre côté, la nécessité de ne pas laisser le numérique se développer sans règle, tout en prenant garde à ne pas casser son dynamisme, ce qui suppose une « régulation » adaptée. L’idée est venue de faire converger deux lignes de mes travaux, autrement dit d’appliquer le « droit de la compliance » à la construction duquel je travaille depuis 4 ans pour un « droit de la régulation » du numérique, ce sur quoi je travaille depuis 15 ans. Les inventions technologiques sont un fait, à partir duquel il faut penser et agir. Si l’exécutif m’a demandé d’élaborer ce que serait « L’apport du droit de la compliance », c’est pour que le fait technologique ne soit pas pour autant le « roi ». Le chef de l’État et le gouvernement entendent gouverner, et gouverner c’est décider, c’est choisir. C’est dans cet esprit que le secrétaire d’État au Numérique m’a commandé un rapport en décembre 2018 sur la manière dont le « Droit de la compliance pouvait permettre de rendre effectives les décisions politiques dans le numérique ». Il m’a été demandé de partir de mes propres travaux et de les confronter avec les expériences et demandes des parties intéressées, par exemple les régulateurs, entreprises, juridictions, associations, etc. Cela a abouti à un rapport en 4 chapitres. Le premier vise à comprendre ce qui se passe, c’est-à-dire l’arrivée d’un nouveau monde constituant un enjeu de civilisation. Le deuxième chapitre établit l’enjeu, qui est de conserver ce qui est bien, à savoir la liberté et l’innovation, et d’y ajouter la protection de la personne. Le troisième chapitre porte sur l’articulation nouvelle à établir entre le système américain et le système européen de compliance, dans son esprit et dans ses techniques. Le quatrième chapitre présente les solutions, que l’on retrouve dans 55 propositions, pour protéger à la fois la liberté et la personne. Il s’agit aussi de prévenir les risques systémiques, le premier risque majeur étant la perte de confiance de tous dans tout, ce qui détruirait le numérique, alors qu’il est devenu le monde même. Pour atteindre ces objectifs, il faut non pas chercher à détruire les opérateurs numériques cruciaux, mais utiliser leur force et leur imposer des obligations de compliance pour qu’ils concrétisent les « buts monumentaux » fixés par le politique, par exemple la lutte contre le réchauffement climatique, sous une supervision européenne.

LPA

Tout est-il à construire ou bien existe-t-il déjà des institutions et des outils qu’il suffirait de développer ?

M.-A. F.-R.

Il n’y a aucun rêve de page blanche. On voit déjà les prémisses du système de compliance se mettre en place dans le numérique. Par exemple, la proposition de loi contre les discours de haine confie aux opérateurs la charge de les gérer en amont pour les juguler et place ceux-ci sous la supervision du CSA. C’est une illustration du droit plus général de la compliance : un « but monumental » (ici la lutte contre la haine) posé ex ante est internalisé dans un « opérateur crucial » (notion que j’avais proposée en 2006), désigné du fait qu’il est en position pour faire en sorte que le dommage n’advienne pas. Cet opérateur numérique est supervisé en permanence par une autorité publique, sectorielle ou générale. Il n’y a rien à inventer, il suffit de tirer le fil, notamment à partir de secteurs où cela est mature, comme le secteur bancaire. Dans celui-ci, les banques sont chargées par le politique de lutter contre le financement du terrorisme non pas parce qu’on les soupçonnerait d’adhérer à cette activité catastrophique et globale mais parce qu’elles sont « en position » d’aider les autorités publiques dans leur mission. Les « buts monumentaux » peuvent se diversifier, comme on le voit à propos de la « finance verte », et à chaque fois c’est l’Europe qui a montré l’exemple. Sans doute parce que c’est la zone juridique et politique du monde la plus soucieuse de l’être humain. Ainsi, il n’est pas besoin de traités mondiaux ou d’accords internationaux, ni d’un système radicalement nouveau, il existe déjà à l’encre sympathique. Mais il fallait le mettre en lumière, analyser des processus qui sont à l’œuvre, et mettre en connexion l’ensemble pour qu’apparaisse un droit de la compliance déjà disponible, presque prêt à l’application. Il s’est constitué notamment grâce, en Europe, à la Cour de Justice qui connaît de tous les secteurs et dont la jurisprudence dépasse de loin la seule question de la concurrence. Si cela n’est pas apparu plus tôt, cela vient de deux faits. En premier lieu, le fait technologique numérique est colossal et l’on est tous comme sidérés. En second lieu, nos spécialisations, souvent sectorielles, nous empêchent d’avoir une vision d’ensemble. Mais si l’on retire les qualifications préfabriquées, on découvre par exemple que le rôle et la puissance d’une entreprise de marché comme Euronext sont assez comparables à ceux de Facebook. Or Euronext est un « régulateur de second niveau » en tant que place de marché d’instruments financiers ; pourquoi ne pas reconnaître cette qualité à Facebook en tant que place d’échanges numériques ?

LPA

N’est-il pas dangereux de confier un pouvoir de régulation, même secondaire, et de discipline à des entreprises déjà surpuissantes financièrement, qui possèdent nos données, s’insinuent au plus intime de nos vies avec leurs outils et qui s’apprêtent même, s’agissant de Facebook, à battre monnaie. Ne risque-t-on pas de créer des entreprises commerciales plus puissantes que des États susceptibles de s’y substituer ?

M.-A. F.-R.

C’est justement si l’on ne fait rien qu’ils vont devenir les maîtres du monde, ce qu’ils ne sont pas encore. Comme beaucoup de personnes, j’entends être gouvernée par le politique que j’ai élu et non pas par Facebook, ou autre Google. Or dans le modèle du droit de la compliance, c’est précisément le politique qui fixe les buts monumentaux et enjoint aux entreprises de les concrétiser. Le droit de la compliance est une solution pour que nous profitions de leur dynamisme, tout en ne devenant pas leurs assujettis, ici par l’injonction par le politique du principe de personne, dont ils sont requis de concrétiser la protection. En effet, par construction, dans le droit de la compliance, le politique fixe le but à atteindre, par exemple lutter contre le changement climatique, puis détecte les entités en position de le faire, car il assume à la fois sa « prétention » (le but est « monumental ») et sa modestie, puisqu’il est trop petit, n’a pas les informations, n’a pas l’argent. Le politique désigne alors les « opérateurs cruciaux » qui, sur le long terme, de gré ou de force, le feront, même s’ils ne sont pas dans le « secteur » concerné (par exemple les banques pour le changement climatique). En agissant ainsi, le politique, connaissant sa faiblesse, peut maintenir ses « prétentions d’État » et ne laisse pas l’individu face aux entreprises géantes. En cela, le droit européen de la compliance se distingue un peu du droit américain de la compliance, plus centré sur la perspective systémique et beaucoup du droit chinois de la compliance, plus centré sur la sécurité et l’obéissance.

LPA

Ce que vous proposez fait penser à Alain Supiot qui écrit dans Homo Juridicus, s’agissant du rôle du droit face à la technique, « à l’impossible, le droit a substitué l’interdit ». Il s’agit de subordonner le technologique et l’économique au droit en ce qu’il se préoccupe de la personne et fixe des limites. C’est donc un humanisme…

M.-A. F.-R.

Nous sommes face à un enjeu de civilisation, ce que j’explique dans le premier chapitre. Il y a effectivement une sorte d’urgence morale à penser les évolutions actuelles. Alain Supiot le fait sur un mode pessimiste tandis que j’ai espoir dans le politique, qui n’est ni naïf ni découragé et qui est instruit du fait technologique. Le monde digital est fondé sur le principe de liberté d’entreprendre, qui a permis à des entreprises d’inventer des technologies si révolutionnaires qu’il n’est pas excessif de les comparer à Gutenberg. Mais un monde ne peut tenir sur le seul principe de liberté, l’appareillage ex post ne suffisant pas à enrayer des excès que l’on observe aujourd’hui non seulement dans le monde numérique mais aussi le monde réel parce que celui-ci a été digitalisé. Dans le deuxième chapitre, j’explique qu’il faut concevoir un second principe, qui ne viendra pas par génération spontanée, mais que la jurisprudence de la Cour de justice de l’Union européenne par l’arrêt Google Spain de 2014 a glissé dans le jeu : la personne et l’impératif de son respect. Même si elle est faible, même si elle consent à être pulvérisée. C’est la définition du droit, car il n’est pas là pour sécuriser les projets particuliers, ce qui relève de l’ingénierie juridique, mais pour protéger le faible, ce qui le lie au politique. Il faut donc mettre en face du pilier de la liberté, celui de la personne. Ce sont deux principes libéraux qui créeront cet équilibre dont les grandes entreprises sont, comme nous, les bénéficiaires, mais aussi les serviteurs. C’est ce que fait par exemple le RGPD.

LPA

Le RGPD a été salué dans le monde entier, y compris par Mark Zuckerberg lui-même, mais ce règlement est-il si efficace que cela quand tout ce qui semble avoir changé au quotidien, c’est qu’on doive consentir à l’utilisation de nos données, ce que l’on fait généralement de façon mécanique ?

M.-A. F.-R.

Je suis contre la rhétorique, voire la fable du consentement, lorsque le consentement cesse d’être l’expression d’une libre volonté car le faible « consent » à être écrasé. On le voit hélas quotidiennement à propos des femmes. On ne protège pas une personne notamment dans sa dignité en lui disant : « Vous pouvez consentir à être coupée en morceaux ». Et encore, pour ne pas choquer je m’abstiens d’évoquer des situations réelles qui peuvent être bien pires. Au consentement, j’oppose la volonté, or on ne peut exprimer sa volonté que lorsqu’on a des marges, et les personnes faibles n’ont pas de marge. Voilà pourquoi le consentement n’est pas le meilleur des outils, alors qu’on le présente souvent comme l’alpha et l’omega. Mais le RGPD, comme la jurisprudence antérieure de la CJUE, ont permis à la protection de la personne d’émerger. Il faut donc poursuivre ce trait, faire apparaître le « dessin global » et le revendiquer au titre de l’humanisme européen ! Certes on peut critiquer la manière dont cela s’organise en pratique, trouver que les systèmes sont plus ou moins bien conçus, insuffisamment rapides, trop souvent organisés en ex post plutôt qu’en ex ante, mais en tout cas c’est fait, d’une façon cohérente et la France a un rôle majeur à jouer en faisant converger la construction d’une « Europe de la compliance », perspective sur laquelle j’ai travaillé en 2017-2018 et publié un ouvrage il y a peu, et la gouvernance de l’internet, convergence qui est l’objet de ce rapport.

LPA

Le troisième chapitre de votre rapport porte sur le rapport entre compliance américaine et européenne. Qu’en est-il ?

M.-A. F.-R.

On considère souvent les États-Unis comme un adversaire parce que ses régulateurs condamnent lourdement nos entreprises, précisément sur le fondement de la compliance. Et on leur reproche l’effet extraterritorial de leurs lois. Cela est justifié s’il s’agit de lois américaines dont le but est local, comme en matière d’embargo. Mais si le but visé est global, comme la lutte contre la corruption, la critique est moins justifiée. Le droit de la compliance est par nature extraterritorial dans la mesure où il intègre des buts monumentaux eux-mêmes extraterritoriaux, comme le souci du changement climatique ou des circuits mondiaux de blanchiment d’argent. La première réponse que l’on est tenté d’apporter est : faisons la même chose ! La deuxième pourrait consister à dire : nous avons des points de désaccord, mais ce qui nous unit c’est un droit occidental soucieux de la protection de la personne, culture commune essentielle qu’il faut préserver et ne luttons que lorsqu’il y a extraterritorialité de lois américaines à but local ou lorsqu’elles sont elles-mêmes contraires au principe de protection des personnes, ce qui arriva dans l’affaire Safe Harbor, où la Cour de justice de l’Union européenne s’opposa avec succès aux États-Unis.

LPA

Dans votre quatrième chapitre vous évoquez les solutions. Les problèmes à gérer sont si immenses, les acteurs à réguler si puissants que l’objectif d’une régulation efficace semble inaccessible…

M.-A. F.-R.

Il me semble au contraire que cette régulation s’opère déjà à certains endroits et étend progressivement son champ d’intervention. C’est l’éparpillement qui nous empêche de le voir, et cette tendance à présenter le droit de la compliance d’une façon très technique qui donne aux projets qui le concernent un aspect « inaccessible ». Mais regardez, la Californie a adopté en juillet 2018 une loi de protection des données personnelles décalquée sur les textes européens, tandis que les États-Unis vont imposer au niveau fédéral un registre des « bénéficiaires effectifs ». Ce mouvement se fait parce que, au-delà du politique, des régulateurs, des juges et des experts, les individus veulent être protégés et respectés, mais ont aussi le souci de protéger le faible. Nous disposons déjà de la plupart des outils et des institutions nécessaires pour que ce droit de la compliance apparaisse sous des traits plus identifiés, et non pas seulement sectoriel ou à travers la question des données. En Europe, la Cour de justice a été décisive pour poser les lignes générales dans des décisions de principe et elle continuera. Au sein de la Commission européenne, la  DG Connect qui se soucie de ces dimensions peut avoir à l’avenir un rôle plus actif, au-delà du dynamisme du marché européen des prestations numériques, qui est pour l’instant sa préoccupation immédiate. L’Europe, qui a su créer l’Union bancaire, modèle sur lequel le monde entier se penche, peut s’inspirer de celui-ci pour renforcer une gouvernance de l’internet sans mobiliser des procédures législatives trop lourdes.

LPA

Vous développez la notion d’intermaillage pour organiser la régulation, de quoi s’agit-il ?

M.-A. F.-R.

L’intermaillage consiste à penser la régulation comme un tissu composé de multiples autorités et non une autorité européenne unique qui disposerait à titre exclusif de tous les pouvoirs sur tout le monde. Une telle autorité serait difficile à mettre en place et inadéquate. Beaucoup de personnes sont concernées par la régulation, mais les acteurs à réguler sont eux peu nombreux puisque le droit de la compliance ne concerne que les « opérateurs cruciaux », comme le sont en matière bancaire les opérateurs « systémiques ». S’ils sont régulés par plusieurs autorités intervenant chacune dans son domaine de compétence, l’intermaillage permettra une régulation totale, qu’il s’agisse des divers régulateurs nationaux, chacun en ce qui le concerne (intermaillage horizontal) ou vis-à-vis de l’Europe (intermaillage vertical). Cette régulation portera non seulement sur le droit « objectif », mais aussi les droits dits « subjectifs », c’est-à-dire les prérogatives des personnes, puisqu’il s’agit précisément d’imposer la personne comme second pilier du numérique. Or, dans le numérique, il y a les droits subjectifs classiques dont les titulaires n’ont plus guère profit aujourd’hui et auxquels il faut rendre de l’effectivité. Par exemple, les droits de propriété intellectuelle. Il faut créer des droits subjectifs numériques. Cet intermaillage horizontal et vertical a pour sommet la CJUE qui, en relation avec les cours internes, notamment les cours constitutionnelle, est là pour garantir l’effectivité des droits subjectifs. Certes, un tel intermaillage internalisé dans les entreprises coûte cher à celles-ci mais il ne s’agit que de ces quelques « opérateurs cruciaux » et il faut admettre que le droit de la compliance est onéreux et à la charge de ses assujettis que sont les entreprises.

LPA

Dans la conception que vous développez de la régulation du numérique, le démantèlement de Facebook réclamé par de nombreuses voix y compris celle d’un de ses cofondateurs vous paraît-il nécessaire ou pas ?

M.-A. F.-R.

Je ne le pense pas. Aux États-Unis, cette position est défendue notamment par Elisabeth Warren, qui fut professeur de droit. Elle le fait en application d’un raisonnement de droit de la concurrence : le groupe est trop puissant, sa puissance ne sert que lui-même donc il faut le démanteler. Je pense le contraire. Nous ne savons pas quoi faire contre le terrorisme, la haine, la pédocriminalité, le trafic d’organe, le changement climatique, etc. Captons leur puissance au service d’autre chose que d’eux-mêmes et supervisons-les ! C’est l’illustration de l’intermaillage que j’ai évoqué. Ainsi Facebook – puisque cet opérateur semble avoir votre attention plus que d’autres – va se retrouver sous l’emprise d’une multitude de superviseurs posant chacun leurs exigences. Cela va lui coûter cher, mais Facebook est riche et surtout, comme toutes les entreprises, il préférera la régulation ex ante de la compliance aux sanctions ex post et au démantèlement. Sauf à me dire qu’un État mondial dans un splendide isolement et une pleine puissance peut être bâti, et qu’on me donne la page blanche pour l’établir, je pense que le droit de la compliance tel que je viens de le décrire est la solution, car l’État doit demeurer et doit soutenir voire accroître ses prétentions, mais pour cela il lui faut trouver des forces mondiales. C’est le droit de la compliance qui lui permet concrètement d’atteindre ses objectifs.