Base Documentaire : Doctrine
► Référence complète : M. Séjean, "La cybersécurité et l’Obligation de Compliance", in M.-A. Frison-Roche (dir.), L'Obligation de Compliance, Journal of Regulation & Compliance (JoRC) et Dalloz, coll. "Régulations & Compliance", 2024, à paraître
____
📕lire une présentation générale de l'ouvrage, L'Obligation de Compliance, dans lequel cet article est publié
____
► Résumé de l'article (fait par le Journal of Regulation & Compliance - JoRC) :
________
Base Documentaire : Doctrine
► Référence complète : E. Netter, "Les technologies de conformité pour satisfaire les exigences du droit de la compliance. Exemple du numérique", in M.-A. Frison-Roche (dir.), L'obligation de Compliance, Journal of Regulation & Compliance (JoRC) et Dalloz, coll. "Régulations & Compliance", 2024, à paraître
____
📕lire une présentation générale de l'ouvrage, L'obligation de Compliance, dans lequel cet article est publié
____
► Résumé de cette contribution (fait par le Journal of Regulation & Compliance) : L’auteur distingue la Compliance qui renvoie aux buts monumentaux et la conformité, qui sont les moyens concrets que l’entreprise utilise pour tendre vers eux, par des procédés, des checks-liksts dans le suivi desquels l’opérateur rend des comptes (art. 5.2. RGPD). La technologie permet à l’opérateur de satisfaire à cette exigence, le caractère changeant des technologies s’ajustant bien au caractère très général des buts visés, qui laissent un large place aux entreprises et aux autorités publiques qui produisent du droit souple.
L’étude s’attache tout d’abord aux technologies existantes. A ce titre, le Droit peut par la Compliance interdire une technologie ou en restreindre l’usage, parce qu’elle contrarie les buts visés, par exemple la technologie de la décision entièrement automatisée produisant des effets juridiques sur des personnes. Parce que l’exercice est périlleux de dicter par la loi ce qui est bon et ce qui est mauvais en la matière, la méthode est plutôt celle de l’explicabilité, c’est-à-dire de la maîtrise par la connaissance par les autres.
Les Régulateurs développent pourtant de nombreuses exigences issues des Buts Monumentaux de la Compliance. Les opérateurs doivent mettre à jour leur technologie ou abandonnent la technologie obsolescente au regard des nouveaux risques ou pour permettre une concurrence effective ne n’enfermant pas les utilisateurs dans un système clos. Mais la puissance technologique ne doit pas se retourner et devienne trop intrusive, la vie privée et la liberté des personnes concernées devant être respectées, ce qui conduit aux principes de nécessité et de proportionnalité.
L’auteur souligne que les opérateurs doivent se conformer à la réglementation en recourant à certaines technologies, si elles sont disponibles, voire de contrecarrer celles-ci si elles sont contraires aux buts de la réglementation mais uniquement toujours si elles sont disponibles, la notion de « technologie disponible » devenant donc le critère de l’obligation ce qui en fait varier le contenu au fil des circonstances et du temps, notamment en matière de cybersécurité.
Dans une seconde partie, l’auteur examine les technologies qui ne sont que potentielles, celles que le Droit, notamment le Juge, pourrait requérir de l’entreprise qu’elle les invente pour remplir son obligation de compliance. Cela se comprend bien lorsqu’il s’agit de technologies en germe, dont la réalisation va se réaliser, par exemple en matière de transfert de données personnelles pour satisfaire le droit à la portabilité (RGPD) car il faut inciter les entreprises à développer des technologies qui leur sont d’un profit moins immédiate ou en matière de paiement sécurisé pour assurer une authentification forte (DSP 2).
Cela est plus difficile pour des technologies dont la faisabilité n’est pas même certaine, comme la vérification de l’âge en ligne ou l’interopérabilité des messageries sécurisés, deux exigences qui paraissent technologiquement contradictoires dans leurs termes , ce qui relève donc encore de la « technologie imaginaire ». Mais par la Compliance la pression exercée sur les entreprises, notamment les entreprises technologiques du numérique est telle que les investissements sont considérables pour y arriver.
L'auteur conclut que c'est pourtant l'ambition même de la Compliance et que l'avenir verra quel en sera le succès.
____
🦉Cet article est accessible en texte intégrale pour les personnes inscrites aux enseignements de la professeur Marie-Anne Frison-Roche
________