Expertises
Droit, technologies & prospectives
interview / Richard Milchior
RGPD & Droit de la concurrence « Entente » mode d’emploi

Droit, technologies & prospectives
Tous les mois, toute l'actualité du numérique... Et tellement plus !
Nos derniers numéros
































































Sommaire
Edito
Focus
En bref
L’information rapide sur le monde du numérique
Magazine
L’information légale et jurisprudentielle du numérique
Interview
Doctrines
Interactions entre le RGPD et le droit de la concurrence
La Loi Influence permet-elle vraiment d’encadrer les dérives de certains influenceurs ?
Contrôle sur audition par la CNIL, mode d’emploi
Incendie dans les locaux d’OVH : le refus des juges d’exonérer la responsabilité d’OVH
DORA : consultation sur la criticité des prestataires TIC
L'édito du mois
Jeu de dupes ?
Les Américains croient-ils vraiment en la robustesse de la troisième décision d’adéquation de la Commission européenne sur les transferts transatlantiques de données personnelles ? Et cette dernière est-elle vraiment convaincue que cette décision, qui entérine l’accord passé entre elle et les Etats-Unis, ne passera sous les fourches caudines de la Cour de justice de l’Union européenne ? Difficile de le savoir. Une chose est cependant claire, la majorité des médias et des experts semble persuader que la décision sur le Data Privacy Framework tombera comme celle sur le Safe Harbor ou le Privacy Shield. Max Schrems, le « tombeur » d’accords n’y est pas pour rien. Sur le site de la fondation qu’il a créée, None of your business (Noyb), il a fait savoir qu’il se préparait à un troisième acte. « Nous avons maintenant des “ports”, des “parapluies”, des “boucliers” et des “cadres”, mais aucun changement substantiel dans le droit américain de la surveillance. Les communiqués de presse d’aujourd’hui sont presque une copie littérale de ceux des 23 dernières années. Se contenter d’annoncer que quelque chose est “nouveau”, “robuste” ou “efficace” ne suffit pas devant la Cour de justice. Pour que cela fonctionne, il faudrait modifier la législation américaine en matière de surveillance, ce qui n’est tout simplement pas le cas », explique-t-il. Sur son site, Noyb explique que toute personne dont les données personnelles seront transférées dans le cadre du nouvel accord peut introduire un recours auprès des autorités de protection des données ou des tribunaux. La fondation annonce qu’elle a préparé diverses options procédurales pour ramener le nouvel accord devant la CJUE. « Nous nous attendons actuellement à ce que la Cour de justice soit à nouveau saisie au début de l’année prochaine. La Cour de justice pourrait même suspendre le nouvel accord pendant qu’elle en examine la substance. Dans l’intérêt de la sécurité juridique et de l’État de droit, nous saurons alors si les minuscules améliorations apportées par la Commission étaient suffisantes ou non » prévient Max Schrems.
Plusieurs arguments militent en faveur d’une invalidation de ce troisième accord, selon lui. D’abord, la CJUE a estimé que la surveillance prévue par la loi FISA 702 n’était pas « proportionnée » au sens de l’article 52 de la Charte des droits fondamentaux de l’Union européenne (CFR). Le décret américain qui a servi de base à l’accord inclurait désormais le mot « proportionné ». Or, le sens de ce terme n’est pas précisé, selon Max Schrems, alors qu’il n’est pas compris de la même façon par les deux parties. Ensuite, il serait impensable que la Cour de justice accepte le dispositif à double détente composé d’un officier de protection des libertés civiles (CLPO) et d’une cour (un organe exécutif partiellement indépendant) comme un « recours judiciaire » au titre de l’article 47 du traité FCE. Et puis surtout, les États-Unis ont refusé de réformer la loi FISA 702 afin d’accorder aux personnes non américaines des protections raisonnables en matière de vie privée.
Reste à savoir si la CJUE se ralliera à l’analyse du jeune Autrichien. La Commission semble faire le pari du contraire. Avait-elle le choix d’accepter les termes américains ? Ne perdons pas de vue que cet accord constitue avant tout une décision politique destinée à débloquer une situation intenable. Les données personnelles continuent de traverser l’océan avec un risque juridique lié à un transfert de données en violation du RGPD. Une solution en trompe-l’œil ?
Face à une impasse -les Etats-Unis ne modifieront pas leur législation qui reste difficilement compatible avec le droit européen-, le plus simple consisterait à ne pas transférer les données personnelles des Européens vers les Etats-Unis et à les traiter en Europe. C’est le choix de Microsoft pour certains de ses services, en application de son projet EU Data Boundary. Oracle ou Google s’inspirent de cette stratégie. Mais quid du Cloud Act, sachant qu’une société américaine ne peut s’opposer à une demande des autorités américaines ?
Le plus sage semble d’héberger ses données chez un prestataire européen et il en existe. Rappelons seulement que le marché est trusté par trois acteurs américains Amazon Web Services (AWS), Google Cloud Platform et Microsoft Azure qui ont capté respectivement 46 %, 8 % et 17 % des dépenses en infrastructures et applications de cloud public en France en 2021, selon le rapport de l’Autorité de la concurrence dans son rapport sur le cloud du 29 juin 2023.
Le focus du mois
Legal privilege à la française
Suite à un amendement du gouvernement au projet de loi d’Orientation et programmation du ministère de la justice 2023-2027, les avis des juristes français devraient enfin être protégés par la confidentialité.

Après de nombreuses années de discussion et de blocage ainsi qu’une douzaine de rapports militant en sa faveur, les avis des juristes français vont enfin être couverts par la confidentialité. Alors que les entreprises sont soumises à de nombreuses obligations de conformité oùu des procédures américaines de discovery peuvent menacer le secret d’informations sensibles, les avis des juristes d’entreprises ne sont pas protégés.
En conséquence, « l’absence de toute confidentialité des avis des juristes d’entreprise nuit très objectivement à l’attractivité de la France », a conclu Dupont-Morrreti. Par le biais d’un amendement du gouvernement au projet de loi d’Orientation et programmation du ministère de la justice 2023-2027, adopté par les députés le 18 juillet dernier, un legal privilege à la française est en passe d’entrer dans notre droit positif.
Les entreprises françaises sont soumises à des obligations de conformité de plus en plus exigeantes, et dans un nombre croissant de domaines – gouvernance, droits humains, droits sociaux, devoir de vigilance, protection des données, règles déontologiques, responsabilité sociale et environnementale, lutte contre le blanchiment de capitaux, etc. Les juristes d’entreprise français doivent alerter leur direction sur les risques juridiques, tout en n’auto-incriminant pas leur entreprise. Mais comme leurs écrits ou leurs avis ne sont pas protégés par la confidentialité, ils peuvent donc être saisis par les autorités de poursuite françaises ou étrangères. De même, dans le cadre d’une procédure devant un tribunal américain, une société américaine peut ainsi avoir accès à des avis sensibles de juristes d’une société française alors que l’inverse n’est pas vrai. Du coup, les juristes internes français n’osent plus écrire pour conseiller leur direction et ou s’autocensurent. Ou bien comme leurs écrits ne sont pas confidentiels, ces professionnels peuvent être écartés de réunions stratégiques de l’entreprise.
D’où la « fuite » de directions juridiques vers des pays où les juristes bénéficient du statut de legal privilege, soit la grande majorité des Etats membres de l’OCDE. Et si des sociétés françaises ou installées en France ayant des liens avec l’étranger, ou une filiale d’un groupe étranger, font le choix de ne pas délocaliser la fonction juridique, elles évitent parfois de recruter des juristes français au bénéfice de lawyers anglo-saxons. « N’oublions pas que lorsque la direction juridique est à l’étranger, le droit des contrats de l’entreprise sera étranger. Ce n’est pas une question purement juridique : derrière le choix du droit applicable, il y a des emplois et de l’attractivité », a rappelé Eric Dupond-Moretti lors des débats parlementaires devant les députés.
Cette « exception française » nuit donc à l’attractivité économique du pays et au rayonnement de son droit mais aussi à la filière juridique, qui se retrouve dans une situation défavorable par rapport aux homologues américains ou européens. Cela fait des années que l’ex-député Raphaël Gauvain le proclame. En 2019, il avait produit un rapport intitulé « Rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale » dans lequel il prônait l’adoption d’un statut protégé pour les juristes d’entreprise. De leur côté, les organisations de juristes militaient pour cette reconnaissance alors que les représentants des avocats y étaient opposés.
Dernièrement, les Etats généraux de la justice ont abordé cette question et ont débloqué la situation. La Chancellerie, les représentants des avocats, les juristes par le biais de l’Association française des juristes d’entreprises (AFJE) et le Cercle Montesquieu sont parvenus à rédiger un projet de texte faisant consensus, en proposant un mécanisme de protection qui n’est pas lié à la personne mais aux documents. C’est ainsi qu’après des amendements des parlementaires des deux chambres, discutés mais non retenus, un amendement du gouvernement, inséré dans l’article 19 du projet de loi sur la justice, relatif à la formation juridique, a finalement été voté par l’Assemblée nationale.
Le texte commence par établir que « les consultations juridiques rédigées par un juriste d’entreprise ou, à sa demande et sous son contrôle, par un membre de son équipe placé sous son autorité, au profit de son employeur, sont confidentielles ». Pour bénéficier de ce statut. Il est exigé que le juriste d’entreprise soit titulaire d’un master et qu’il justifie du suivi de « formations initiale et continue en déontologie ». Ses consultations doivent par ailleurs porter la mention « confidentiel – consultation juridique – juriste d’entreprise » et doivent faire l’objet d’une identification et d’une traçabilité particulières dans les dossiers de l’entreprise. Enfin et surtout, « les documents couverts par la confidentialité en application du présent article ne peuvent, dans le cadre d’une procédure ou d’un litige en matière civile, commerciale ou administrative, faire l’objet d’une saisie ou d’une obligation de remise à un tiers, y compris à une autorité administrative française ou étrangère. Dans ce même cadre, ils ne peuvent davantage être opposés à l’entreprise qui emploie le juriste d’entreprise ou aux entreprises du groupe auquel elle appartient ». Le texte précise par ailleurs que « la confidentialité n’est pas opposable dans le cadre d’une procédure pénale ou fiscale. »
Le dispositif a failli être amputé d’une partie de son efficacité, suite à l’intervention des services d’enquête de Bercy avant l’examen du texte à l’Assemblée nationale, pour que la confidentialité des avis de juristes ne soit pas opposable en matière administrative afin de ne pas compromettre les enquêtes, notamment celles de l’Autorité des marchés (AMF). L’Arbitrage de Matignon avait été sollicité mais la confidentialité des avis à l’égard des contentieux administratifs a été maintenue. L’amendement, dont les deux chambres sont d’accord sur le principe, doit encore être approuvé en commission mixte paritaire, qui devrait intervenir en octobre.
L'invité du mois
Interview / Richard Milchior
RGPD & Droit de la concurrence « Entente » mode d’emploi
Le 4 juillet dernier, la Cour de justice de l’Union européenne a rendu un arrêt sur la légalité du traitement des données exploitées par Meta. Il consacre aussi le principe d’une coopération entre autorité de contrôle des données et de la concurrence, et le fait qu’une autorité de la concurrence nationale puisse constater, dans le cadre de l’examen d’un abus de position dominante, une violation du RGPD, accompagné du mode d’emploi de cette coopération.

Sylvie Rozenfeld : Richard Milchior, vous êtes avocat associé du cabinet Herald, et vous intervenez notamment en droit de l’Union européenne et en droit de la concurrence interne. En quoi cet arrêt vous semble important ?
Richard Milchior : C’est un arrêt rendu par la Grande chambre de la CJUE, juste en dessous de l’assemblée plénière qui juge les affaires d’une importance exceptionnelle, ce qui signifie que la Cour a considéré que cette affaire nécessitait une certaine solennité. Il s’agit donc d’un arrêt important pour le droit de la concurrence parce qu’il confirme que celui-ci peut être utilisé pour réguler et réglementer des activités qui sont insuffisamment ou mal réglementées par d’autres droits.
Ce qui n’est pas le cas en l’occurrence avec les données personnelles et le RGPD, non ?
C’est justement le cas. On peut comparer cette affaire à celles dans lesquelles la Commission européenne avait tenté d’utiliser le droit de la concurrence pour résoudre des problèmes créés par des avantages fiscaux, notamment avec l’Irlande et le Luxembourg dont la législation favorisait les multinationales. Dans le domaine des données personnelles, on a bien sûr le RGPD, qui est une réglementation connue et lourde dans son utilisation, qui prévoit une coopération entre les autorités de contrôle nationales et une autorité nationale dite chef de file dans les affaires transnationales.
Les multinationales de la tech ont généralement leur siège social européen en Irlande et relèvent donc de l’autorité de contrôle irlandaise qui a mis beaucoup de temps à rendre des décisions avec d’importantes sanctions, et ce, en y étant contraintes, sous la pression des autres autorités et du Comité européen de protection des données (CEPD). L’autorité irlandaise a, du reste, attaqué certaines des décisions du Comité, qui l’obligeait à prononcer des sanctions, devant le Tribunal de l’Union européenne. D’un côté, nous avons un système qui, en droit, peut fonctionner, mais en pratique rencontre des difficultés. D’un autre côté, nous avons des autorités de concurrence, que ce soit la Commission européenne ou les autorités nationales de concurrence. Ces dernières ont une vision peut-être plus « ayattolesques » que les autorités en charge de la protection des données personnelles des pratiques présumées anticoncurrentielles, ce qui a conduit l’autorité allemande à intervenir dans cette affaire Meta, puis la Cour interrogée à titre préjudiciel dans ce même dossier à se prononcer le 4 juillet dernier.
Cet arrêt est important en ce qu’il montre que les autorités de la concurrence ne veulent pas se laisser cantonner dans une vision de la concurrence historique mais souhaitent rester en prise avec l’évolution de l’économie et des technologies. Il pose le principe qu’une autorité de la concurrence nationale peut constater, dans le cadre de l’examen d’un abus de position dominante, une violation du RGPD et va même au-delà. Comme dans les arrêts sur les importations parallèles de médicaments de 1996 et ceux postérieurs précisant de manière détaillée en sus des textes, des traités, des règlements et des directives dans quelles conditions des importations parallèles pouvaient être autorisées à l’intérieur de l’UE, la Cour procure une sorte de guide de bonnes pratiques ou de mode d’emploi, voire de régulation ou de « décret judiciaire », terme qui je le reconnais n’existe pas, mais qui indique de façon détaillée la manière dont les autorités doivent coopérer. Elle ne se contente pas de rappeler qu’elles ont le droit de le faire, mais elle prévoit comment elles doivent agir, comment elles doivent réagir et ce qu’il risque de se passer si elles ne le font pas. Ces directives sont très bien formalisées dans les premières et dernières réponses données aux questions préjudicielles. Il est assez rare que la Cour intervienne ainsi ; elle le fait quand elle veut « marquer le coup », en quelque sorte, et pour renforcer le caractère uniforme de l’application de son arrêt dans tous les pays et aussi éviter de futures questions visant à interpréter et donc compléter son arrêt.
Quelles sont les règles qu’elle préconise ?
D’abord, les autorités de concurrence nationales et les autorités de contrôle en matière de données personnelles doivent coopérer de manière loyale. La Cour prévoit par ailleurs que lorsqu’une décision a déjà été rendue par une « Cnil » d’un Etat membre, l’autorité de concurrence doit s’en inspirer. Si aucune décision n’a été rendue en lien avec la question posée, l’autorité de concurrence doit interroger celle en charge des données personnelles et lui demander son avis, qui doit être rendu dans un délai raisonnable. En cas d’absence de r…
Les doctrines du mois
Interactions entre le RGPD et le droit de la concurrence
Par une décision du 4 juillet 2023, la Cour de justice de l’Union européenne a considéré qu’une autorité de la concurrence peut constater la non-conformité avec le RGPD d’un traitement de données personnelles dans le cadre de l’examen d’un abus de position dominante d’une entreprise, lorsque ce constat est nécessaire pour établir l’existence d’un tel abus. Cela doit être fait en respectant l’obligation de coopération loyale entre les autorités, l’autorité de la concurrence ne se substituant pas aux autorités de contrôle.
La Loi Influence permet-elle vraiment d’encadrer les dérives de certains influenceurs ?
Les règles juridiques préexistantes, inadaptées au modèle de l’influence, ont conduit à l’adoption de règles à priori plus strictes, sans toutefois se révéler révolutionnaires. Reste à voir si la loi « Influence » puis le Digital Services Act et sa transposition française vont permettre de lutter contre les comportements abusifs d’une minorité d’influenceurs qui jettent l’opprobre sur une profession dont la majorité des acteurs fournit des efforts conséquents pour promouvoir des produits et services correspondants à leur valeur.
Contrôle sur audition par la CNIL, mode d’emploi
Retour d’expérience de conseils intervenus dans l’exercice du contrôle sur audition de la CNIL, moins fréquent que le contrôle sur place mais en augmentation, et qui peut avoir une influence majeure sur la décision qui en résultera.
Incendie dans les locaux d’OVH : le refus des juges d’exonérer la responsabilité d’OVH
Le tribunal de commerce de Lille a rendu deux jugements sur l’incendie des datacenters de la société OVHcloud à Strasbourg en mars 2021. Les juges ont condamné OVHcloud à indemniser les demanderesses aux motifs qu’elle avait manqué à ses obligations contractuelles. Les deux jugements ont pour point commun d’exclure toute exonération d’OVHcloud au titre de la force majeure et de réputer non écrite la clause limitative de responsabilité, car ces clauses portent atteinte à l’équilibre du contrat. Doit-on en conclure que ces jugements marquent une nouvelle tendance jurisprudentielle en matière de perte de données ?
DORA : consultation sur la criticité des prestataires TIC
La technicité du règlement « Digital Operational Resilience Act » dit DORA est telle que plusieurs chantiers et consultations sont en cours pour préciser certaines notions et permettre leur application de manière claire et granulaire.
Tous les mois, toute l'actualité du numérique... Et tellement plus !
FORMULES D'ABONNEMENT






- + Les alertes d’actualité de legalis.net, avec des présentations
de décisions de justice en exclusivité
- + Le carnet MOLESKINE série limitée « EXPERTISES », au format 13*21cm, disponible exclusivement pour nos abonnés