Table ronde – L’Union européenne et ses Etats membres, entre identité et souveraineté (dir. Mme Le Professeur Hélène Gaudin), Université Toulouse Capitole IRDEIC/CEEC, 5 mai 2021 – partie 4
L’Europe deviendrait-elle une colonie numérique dont seules les valeurs lui garantiraient encore son indépendance technologique ? Enjeu géostratégique, la notion de “numérique”, comprenant à la fois la “robotique” et ”l’informatique”, avait pour fonction première de soulager l’être humain en se substituant à lui dans l’accomplissement de tâches répétitives. Actuellement, ce remplacement est opéré par des outils informatiques fournis par des entreprises d’Etats extérieurs aux membres de l’Union Européenne (ci-après “UE”) entretenant un lien de dépendance avec ces technologies. Ce phénomène s’explique par les orientations commerciales tardives des entreprises européennes à ce sujet1.
La valeur numérique en droit européen peut être entendue d’un point de vue strictement économique, comme l’indique le droit européen de la concurrence inscrit dans le Traité sur le fonctionnement de l’Union européenne (ci-après « TFUE »). La finalité de ce texte est bien la régulation du Marché Commun en garantissant aux consommateurs un haut degré de protection. Il n’a pas été nécessaire d’attendre l’entrée en vigueur du TFUE, qui inclut les dispositions de la Charte des droits fondamentaux de l’Union européenne (ci-après « CDFUE »), pour considérer l’intérêt de cette protection. En effet, les textes conventionnels mentionnés ont progressivement reconnu aux consommateurs la qualité de citoyens auxquels des droits fondamentaux sont attachés. Cette nouvelle politisation se justifie par une difficile reconnaissance de la légitimité européenne, eu égard aux multiples crises politiques rencontrées.2.
Ainsi, la seconde conception de la notion de « valeur numérique » du droit européen vise la promotion de l’Etat de droit comprenant la participation du citoyen à la décision publique. Son corollaire est la protection des Droits et Libertés fondamentaux inspirés de la jurisprudence de la CEDH (ci-après « Droits et Libertés »). Ces derniers entrent parfois en contradiction avec celle accordée par ses Etats membres. Ce triptyque entre valeurs économiques et valeurs démocratiques de l’UE et de ses Etats membres en comprend un quatrième : l’extranéité. Ces solutions informatiques, immatérielles, sont généralement développées par des entreprises tierces à l’UE et hébergées hors de son territoire. Or elles promeuvent alternativement leurs propres valeurs3 ou celles de leurs Etats d’origine4. Ce conflit de valeurs découlant de l’usage numérique questionne la place des valeurs promues par l’UE dans ses rapports avec ses Etats membres et avec les tiers. Cette multiplication de valeurs impose la « confiance » ((Voir dans ce sens Commission européenne, Artificial Intelligence: a European approach to excellence and trust, 2020.)) comme socle d’un futur Marché Commun Numérique5.
L’identité numérique, comme moyen d’identification d’« une personne (qui) est bien celle qu’elle prétend être ou présume être, ou bien que nous présumons (être)»6, expression de leur souveraineté. Cette identité nationale entraîne droits7 et exclusions8. Hors les cas de discriminations entre ressortissants de différents Etats membres, le droit européen encadre l’identité pour mieux harmoniser les technologies formalisant cette identification9 ou garantissant l’interopérabilité des outils technologiques nationaux10 par l’ensemble des Etats membres de l’UE.
Cette dernière notion conditionne l’élaboration du Marché Commun Numérique en faveur de la circulation des données nécessaires pour fournir des marchandises et des services électroniques. Néanmoins, l’importation de logiciels étasuniens soumet contractuellement l’UE au respect des valeurs des éditeurs. Cela prouve que les valeurs européennes en droit du numérique découlent de celles portées par les USA, introduisant ainsi le « principe de responsabilité », sous-courant de la doctrine du « laissez-faire » en droit du numérique11. Transposition assumée du principe anglo-saxon d’accountability((Voir Groupe de travail Article 29, avis n°3/2010 sur le principe de la responsabilité du 13 juil. 2010, WP 173, spéc. § 23.)), cette privatisation de la régulation des droits fondamentaux soumet les entreprises à une obligation de documentation de procédures internes protectrices des droits et des libertés, à peine de fortes amendes. Consacré par le RGPD12 et repris par les réglementations numériques européennes ultérieures13, ce principe se qualifie du fait de l’impossibilité de contrôler efficacement tous les acteurs mais interroge dans un contexte technologique international. Le renouveau du capitalisme étatique chinois inscrit le choix des outils numériques par les Etats membres, et indirectement par l’UE, comme une question politique. En effet, ce capitalisme étatique fait apparaître des offres émanant d’opérateurs étrangers soutenus par leur État d’origine à travers un financement indirect14 ou une prise directe de participation capitalistique, augmentant leur capacité concurrentielle face à des produits fournis par des acteurs nationaux. Ainsi la fourniture de technologies par une entreprise sous domination d’un Etat tiers questionne l’intégrité de leurs performances. Dans le contexte d’une guerre commerciale entre les Etats-Unis et la Chine, ces nouveaux choix politiques entraînent l’application de certains dispositifs datant de la Guerre Froide15. Ainsi les alliances historiques invitent les valeurs européennes à rester compatibles avec les valeurs étasuniennes.
La promotion d’un réseau numérique européen connecté au Réseau mondial16 repose sur une conception réaliste de la donnée, c’est-à-dire sa réification par un attachement technique, son hébergement17, ou par le jeu de la réservation contractuelle18. Ainsi la donnée, information par nature immatérielle, non exclusive et non rivale19, est réputée être une chose matérielle. Cette conception entraîne des conséquences directes pour les « Droits et Libertés » promues par l’UE. En effet, cette réification rattache territorialement la donnée en offrant aux Etats membres une compétence régalienne20. L’exemple chinois souligne la création d’un réseau isolé, mais l’adhésion de l’UE aux accords internationaux de libre-échanges21 la place géographiquement, cette fois, entre les intérêts libéraux nord-américains, les inspirations de la démocrature russe et les velléités impérialistes chinoises. Questionnant peu les valeurs politiques de l’UE, ce positionnement géographique interroge celles des Etats membres aux intérêts politiques conjoncturels. Ainsi, bien que les premières consacrent « les valeurs de la dignité humaine, de liberté, de démocratie, d’égalité, de l’État de droit, ainsi que du respect des droits de l’homme, y compris des droits des personnes appartenant à des minorités, énumérées à la première phrase de l’article 2 TUE et réitérées dans le Préambule du même traité »22; les secondes présupposent « leur attachement aux principes de la liberté, de la démocratie et du respect des droits de l’homme et des libertés fondamentales et de l’État de droit »23.
Ces valeurs fondamentales restent soumises à leur compatibilité avec celles prévues par les systèmes constitutionnels des Etats membres. Celles-ci oscillent au rythme des élections ou, malheureusement, d’événements majeurs. Les questions relatives à la prévalence et à la compatibilité entre les valeurs européennes et celles des Etats membres, c’est-à-dire sur la nature moniste ou dualiste du système européen, font toujours l’objet d’études remarquables24. Néanmoins, la multiplicité des intérêts en présence individualise le droit du numérique européen. En effet, ces valeurs sont-elles solubles dans les spécifications techniques permettant l’interopérabilité des données pour l’édification d’un Marché Commun Numérique ? Celui-ci ne serait-il qu’une transposition du Marché Commun « classique » ? Des marges de manœuvre sont-elles toujours ouvertes aux Etats membres pour faire primer leurs « valeurs » ? Dans l’affirmative, ne faudrait-il pas les limiter au nom d’une proto-souveraineté numérique européenne ? Pour assurer une cohérence du droit européen, les réponses ne peuvent qu’être positives. Dans un premier temps, nous démontrerons que la construction organique d’un Marché Commun Numérique a toujours pour finalité d’être affairiste en raison de la prévalence accordée aux besoins du marché relayant en apparence les valeurs au second plan (I). Puis l’évolution du droit européen matériel schématise un embryon de souveraineté européenne externe fragilisé par les revendications politiques des Etats membres (II)
I-La transposition du Marché Commun à la matière numérique
Le droit numérique européen contemporain se démarque de sa neutralité apparente pour transposer les logiques du Marché Commun dans le droit du numérique (A). Toutefois, la technicité de la matière implique la présence d’acteurs spécialisés (B).
A-La consécration des grandes libertés européennes pour la création d’un Marché Commun Numérique
Initialement sous-estimées, les activités numériques étaient régulées par de simples directives. Mais la place revendiquée par l’informatisation a accéléré sa régulation. Son omniprésence a poussé l’émergence du Marché Numérique Commun, double numérique du Marché Commun, se traduisant par l’importation de certains principes en droit du numérique (2). La régulation de ce marché a été déléguée aux acteurs du numériques au nom du principe de responsabilité (1).
1-La délégation de la conformité d’activités numériques aux acteurs de droit privé
Le principe de responsabilité25 marque un recul du contrôle ex ante des acteurs du numérique par un réseau d’autorités nationales de contrôle (ci-après « ANC »), supervisées par une institution européenne26, en faveur d’un contrôle ex-post. L’informel groupe de travail de l’article 29, remplacé depuis par l’institution du Comité Européen des Données Personnelles préconisait27 ce principe, d’inspiration canadienne28, se fondant sur les préconisations de l’OCDE29 tout en faisant fi des critiques émises par les nord-américains à son égard30. L’article 5.2 du RGPD traduit ce principe31 par l’instauration d’une procédure à double niveau :
- le premier niveau – traditionnel – est l’applicabilité de la norme légale à tous les acteurs ;
- le second niveau – innovant – repose sur la preuve de la connaissance de cette norme par un acteur spécifique.
Cette prise de connaissance se matérialise par l’élaboration d’une documentation qui prouve l’instauration de mesures internes protectrices des données personnelles des personnes concernées32.
Rédigé de façon minimaliste33, le principe de responsabilité institué par le législateur européen invite les acteurs privés à prévenir les « risques » de violation des « Droits et Libertés » dans les droits des données personnelles et de l’intelligence artificielle. La généralisation de l’évaluation d’impact préalable34 délègue aux entreprises l’appréciation discrétionnaire des « risques » encourus par les utilisateurs, tout en leur laissant la charge de les définir et de les quantifier. En effet, l’évaluation d’impact des « hauts35 risques »36réalisée par les analystes en charge du déploiement de la technologie dangereuse se distingue de celles réalisées préalablement à la distribution d’un produit sur le marché européen. La conjugaison des notions floues de « risque » et de « Droits et Libertés » offre à l’analyste la possibilité d’écarter ou de réduire l’appréciation de certaines menaces. Partant des lignes directrices établies par des autorités européennes centrales, les méthodologies varient d’un État à un autre, fragilisant leur efficacité37.
2-De la transposition maladroite de dispositifs d’autres droits en droit du numérique
La délégation au secteur privé n’est pas fondée sur la technicité inhérente aux questions numériques mais sur le principe de responsabilité38 dont le non-respect des obligations de conformité est lourdement sanctionné. Les sanctions s’inspirent des règles du droit de la concurrence servant, cette fois, de modèle pour la constitution d’un réseau de chapitres dans chaque Etat membre supervisé par une autorité centrale européenne. À la différence du RGPD et de l’IAA, le droit de la concurrence prévoit une grille de lecture compréhensible des modalités de fixation des amendes infligées au titre de la violation des articles 81 et 82 du Traité39. Cette absence de clarté accentue le « pick and choose» des sociétés numériques multinationales qui élisent leur siège social dans des États «plus conformes à leurs valeurs ou à leurs intérêts »40, favorisant les stratégies de law/forum shopping41. Enfin, l’IAA est une transposition inaboutie en droit du numérique du Règlement 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits42. L’assimilation des activités immatérielles aux produits matériels nie leur spécificité respective tout en affirmant la compétence de l’UE pour des situations juridiques inadaptées, renforçant l’illusion de sécurité juridique nécessaire pour « susciter la confiance » du consommateur43. En effet, une intelligence artificielle étrangère s’affranchit de toute frontière ou de tout examen douanier. La production de la preuve de son utilisation illicite par une société européenne ne peut être produite qu’après des mesures d’enquête dans les locaux européens hébergeant ses serveurs44.
Ces différents facteurs engendrent un droit européen du numérique contradictoire. Technique sur les problématiques affrontées, ce droit n’en demeure pas moins (trop45?) généraliste au nom d’une neutralité technologique pérennisant pérennité les textes d’application. La prise en compte de l’évolution technologique est effectuée par le recours aux lignes directrices élaborées par les autorités européennes compétentes46 intégrant en leur sein les ANC, points de contact nationaux avec les entreprises. Symbole de la soft law, ces outils normatifs harmonisent l’application du texte général en prenant en compte les visions de chaque Etat membre47. Ces instruments sont pourtant adoptés à la majorité simple des membres créant ainsi un risque de dissidence par une ANC. Bien qu’étant des « actes pris par l’une des institutions de » l’UE48, la valeur organique de ces lignes directrices est questionnée en droit interne49. La nomination politique des membres des ANC irrespectueuse du droit de l’UE relativise les sanctions qu’il instaure. Les propositions de textes ultérieurs au RGPD résolvent cette question en plaçant les chefs de réseaux européens sous l’autorité directe de la Commission européenne50 assurant ainsi une mise en œuvre harmonieuse des textes.
B-Un droit européen numérique fruit d’une concertation multipartite
Les articles 10 et 11 du TFUE invitent la société civile à participer à la création du droit du numérique. A l’instar des autres domaines juridiques, les parties prenantes impliquées sont principalement issues du monde industriel. Cette implication se retrouve dans l’application des textes (1°) et des normes techniques (2°).
1-Les parties prenantes comme représentants de la société civile
Le TFUE est postérieur à la technique législative de la « Nouvelle Approche »51, applicable à notre domaine. Son objectif est la simplification des textes européens dont la rédaction est jugée lourde et complexe par les industriels. La Nouvelle Approche répartit donc le travail normatif entre les exigences essentielles rédigées par les institutions européennes et les aspects techniques délégués aux centres régionaux de certification52. Or une telle délégation nécessite une transparence absolue de tous les travaux réalisés par les institutions européennes, et donc de ses enceintes, en accueillant observations et orientations des parties prenantes. Néanmoins, la représentation des intérêts de la société civile est davantage orientée en faveur des intérêts industriels au détriment de la sauvegarde de l’intérêt général, et donc des valeurs européennes. Ainsi, les principaux interlocuteurs aux appels à consultation sur des textes ayant un impact direct sur la régulation technique des “Droits et Libertés” des citoyens européens sont des sociétés transnationales étasuniennes et des associations corporatistes d’industriels européens, dont les premières en sont des membres actifs53. En dépit d’une stratégie associative pro-consommateur similaire54, la multiplication des supports de communication émanant d’organisations lucratives, qui disposent d’un budget dédié, teinte les résultats de ces consultations d’une coloration industrielle. Ainsi, les textes européens numériques deviennent l’enjeu de négociations sources de blocages55 d’incohérences textuelles56 et traduisent des intérêts extra-européens. Deux voies de résolution sont envisageables.
L’édiction des lignes directrices du CEPD est soumise à cette procédure de consultation. Prenant acte, officiellement tout du moins57, des réponses industrielles, le CEPD intègre le retour d’expérience de ses membres qui sont aussi des juridictions spécialisées58. Cette position leur offre la connaissance concrète des manquements systématiques au RGPD incorporés dans les lignes directrices qui s’affranchissent parfois du texte en recourant à l’autocitation ou en réinterprétant les grands arrêts de la CJUE. Cette stratégie lui permet de définir la notion de « parties prenantes», soit tous les acteurs impliqués dans le traitement59, et en y développant celle de « parties intéressées» visant toute partie (in)directement concernée par le traitement60. Ces dernières doivent être consultées préalablement au déploiement de la technologie. L’absence de cette consultation doit être dûment documentée61. Cette première voie correctrice de la hard law par la soft law invite à mieux considérer l’ensemble de la société civile. La seconde voie concerne le recours contentieux à travers la question préjudicielle exercée par les associations protectrices des droits62. Ainsi, nonobstant la teinture commerciale, une certaine cohérence des valeurs européennes est maintenue par ces voies correctives.
2-Vers une remise en cause progressive des logiques purement commerciales
Le renvoi aux organismes de normalisation techniques, institué par la Nouvelle Approche, est formalisé par l’octroi d’un mandat émis par la Commission européenne à un/des organismes de certification. La finalité de ce mandat est le choix d’une technologie spécifique dans l’UE assurant l’interopérabilité des données63. Elle justifie une concertation supranationale intégrant les parties prenantes d’un secteur donné. Les normes techniques adoptées, comparables à une lex mercatoria64technique, sont considérées comme l’état de l’art applicable à des acteurs d’un secteur identifié. Inversement au caractère prétorien de la lex mercatoria, les normes techniques reposent sur la formalisation des spécifications techniques se distinguant du standard, qui traduit la position dominante technologique d’un acteur. Bien que cette norme ne soit pas contraignante pour les acteurs65, la nécessité d’interopérabilité la rend de factoobligatoire dans le secteur numérique. Son élaboration nécessite la concertation des membres dudit secteur pour en déterminer démocratiquement la teneur. Cette exigence pré-suppose une égalité théorique dans la représentation des membres. En pratique, cette égalité est relativisée puisque la puissance économique d’un acteur lui permet de s’imposer face aux acteurs secondaires. De surcroît, la doctrine souligne l’absence d’implication des représentations étatiques66 en insistant sur l’investissement nécessaire pour maintenir une représentation permanente au sein des groupes d’élaboration d’une norme technique. Ceci entraîne l’exclusion factuelle de parties tierces67 au bénéfice des participants. Ainsi, la technologie de référence adoptée ne sera ni la meilleure, ni la plus efficace mais la mieux défendue par ses partisans. Un tel mécanisme légitime la présence des normes techniques étrangères, donc de leur technologie numérique, sur le territoire européen.
L’importance stratégique des normes techniques n’a été reconnue que récemment par la Commission européenne qui y perçoit un moyen d’assurer « l’autonomie stratégique du continent, en définissant les caractéristiques techniques des produits qui vont s’imposer à l’ensemble du monde»68. Cet intérêt européen soudain provient de la domination politique et technique chinoise dans les enceintes de standardisation internationale69, telles que le 3GPP70. Du fait de l’adhésion des organismes européens, leurs normes techniques sont directement applicables dans l’UE. Or cette domination chinoise s’inscrit dans le programme d’hégémonie technologique « Belt and Road Initiative »71. Pour prévenir cette menace de dépendance technologique, la Commission européenne décide d’aménager la Nouvelle Approche72 en insérant une clause de révocation dans les mandats de délégation de création de normes techniques en cas d’inadéquation avec l’objectif recherché ou en soumettant la norme technique à une procédure d’examen, consultatif73 ou juridictionnel74 , permettant ainsi la prise en compte des valeurs européennes. Cette judiciarisation de la norme technique assure la cohérence des valeurs au droit européen en l’extirpant de ses teintes techniques et commerciales.
II-L’instrumentalisation des valeurs numériques comme défense d’une unité européenne
La définition de l’identité numérique de l’UE par ses valeurs est duale. Tout d’abord, ses valeurs sont invoquées par la CJUE comme des normes essentielles encadrant ses relations extra-frontalières. (A). Son second aspect n’épuise pas les revendications souverainistes des Etats membres et révèle la fragilité du droit européen (B).
A-L’interprétation créatrice de la règle de droit
La CDFUE s’inscrit dans la continuité du droit primaire dans l’environnement du numérique (1) et encourage la création de normes autonomes par le juge (2).
1-L’invocation du droit primaire européen comme affirmation de la primauté du droit européen
Comparable au « Federalism » étasunien du XVIII siècle, où tout sujet connexe à une compétence fédérale est dévolu à cette entité, la CJUE emploie cette technique en droit du numérique européen75. Cette immixtion dans des matières relevant encore de la compétence exclusive des Etats membres se fondait sur le respect des grandes libertés de l’UE76, parmi lesquelles le droit de la concurrence77. Sur ce fondement, le juge européen prenait en compte les impacts subis par le marché européen de pratiques d’Etats tiers78 imposant ses valeurs sur la scène internationale79. L’entrée en vigueur de la CDFUE inscrit le droit des données personnelles comme valeur fondamentale protégée par son article 8. Ainsi, le premier arrêt Schrems80 use de ce fondement pour examiner l’efficacité de la protection offerte par un Etat tiers. Cet examen sera renforcé par l’entrée en vigueur du RGPD81). Son chapitre 5 partage cette compétence entre la Commission et les ANC82. L’invocation du droit primaire permettrait à l’UE de limiter l’instauration de traitements attentatoires aux Droits et Libertés des résidents83 en imposant directement ses valeurs fondamentales aux Etats membres et indirectement aux Etats tiers.
Cette consécration réhausse ces valeurs numériques en « loi de police », c’est-à-dire des règles «dont l’observation est nécessaire pour la sauvegarde de l’organisation politique, sociale ou économique». Elles offrent un standard84 indérogeable sur le territoire européen excluant tout conflit de lois. L’adjonction de sanctions administratives à leur méconnaissance renforce cette qualification. Outre la neutralisation des normes techniques contraires à ces dispositions, l’une des raisons politiques de cette intensité est la création d’un barrage procédural à la discovery étasunienne85. Comparée à la lawfare86, elle se voyait reprocher des griefs d’espionnage industriel du fait de la transmission d’un nombre trop important de documents confidentiels d’une partie, généralement européenne, à une autre étasunienne. Or, la transformation du cadre juridique des données personnelles constitue un rempart répondant aux exceptions prétoriennes étasuniennes87. Néanmoins, cet expansionnisme se justifie par l’affranchissement du juge européen de la lettre du texte.
2-Le pouvoir créateur du juge européen
Un tel affranchissement s’effectue en deux temps : l’utilisation de la notion du risque et les normes autonomes. Spécifique à notre matière, la notion de « risque » est entendue comme une sauvegarde aux « Droits et Libertés » dans le cadre des activités numériques. Son emploi par la CJUE reflète tout d’abord l’impossibilité d’apprécier effectivement une situation88. L’institutionnalisation du risque est garantie par les juridictions lors d’une suspicion de violation. Les méthodes d’appréciation du danger généré par l’activité numérique sont floues. En effet, l’étendue des impacts réels engendrés sur les « Droits et Libertés » par les traitements de données sur les utilisateurs sont difficilement quantifiables. Cette indétermination entraîne dans certains domaines89 une extension des protections accordée, comme l’indique le verbe «pouvoir»90. La démonstration du lien de causalité entre le fait générateur et le dommage est supplée par l’invocation du risque créant des présomptions de dommage. Outre la déformation du régime de responsabilité par le choix du recours à la théorie de l’équivalence des conditions, cette présomption bouleverse le droit de la responsabilité civile en imputant directement des dommages matériels du fait des choses immatérielles sans en exiger la preuve91 dans le cadre d’actions systématiquement jugées recevables92. Cette extension doit cependant être limitée à la question du numérique puisque le juge européen a exclu la responsabilité du fait des choses immatérielles93 du régime commun du droit de la responsabilité civile européen94.
Toutefois, pour garantir la protection de la partie faible, utilisatrice ou personne concernée, le juge européen use de son pouvoir d’interprétation des textes européens. Cette compétence, souvent souveraine95, parfois textuelle96, offre au juge les moyens d’une « harmonisation à marche forcée »97 dans la mise en œuvre de ses valeurs. Cette technique, éprouvée, en droit de la propriété littéraire et artistique, confère au juge les outils d’immixtion dans des matières ne relevant qu’incidemment de sa compétence98. Malgré tout, la reconnaissance de la « propriété » comme valeur juridique absolutiste99 a été remaniée en faveur de l’efficacité des grandes Libertés européennes100. Le juge européen dépasse les limites nationales et internationales101 en interprétant avec aisance les lignes directrices interprétatives d’organisations internationales tierces102. Ces libertés interprétatives, créatives de jurisprudence, offre au juge européen un corpus juridique autorisant l’autocitation103. Proche de la Common Law104, cette stratégie concède au juge la faculté d’imposer ses interprétations aux Etats membres tout en s’émancipant des conventions auxquelles l’UE est partie105. Il est certain que le risque et la définition de normes autonomes seront des techniques assurant la cohérence du Marché Commun Numérique et la prévalence des valeurs européennes par la CJUE.
B-Une remise en cause progressive des mécanismes européens de confiance mutuelle
Le contexte actuel de défiance provient de la menace de certains Etats membres de désorganiser la cohérence fragile de l’UE (1). Il se manifeste par une résignation aboutissant à une remise en cause du droit européen pour des besoins « conjoncturels » (2).
1-Une remise en cause par l’UE des délégations aux Etats membres
Le droit des données personnelles est un exemple des limites inhérentes aux comportements intéressés106 ou opportunistes107 des Etats membres. Ceux-ci s’intègrent dans une stratégie de law shopping optimisant l’installation des entreprises étrangères dans certains Etats membres offrant de multiples avantages (bénéfices fiscaux, moins de contrôles de conformité, législations sociales accommodantes) tout en fournissant un accès au marché européen. Comparable à un Cheval de Troie, cette stratégie fragilise les valeurs de l’UE en créant un acquis européen à géométrie et à application temporelle variables. Cette incohérence décrédibilise la valeur consacrée par le juge européen et affaiblit son intensité juridique108. Ainsi, l’acquis européen en matière numérique, corollaire à la création d’un Marché Commun Numérique, relève davantage d’un souhait politique de ses Etats membres que d’un programme coordonné depuis Bruxelles. Pourtant, à la différence des réglementations ultérieures au RGPD, la consécration organique du droit des données personnelles comme une pleine valeur de l’UE, c’est-à-dire directement invocable par toute partie intéressée, garantit son autonomie. Celle-ci se manifeste par la reconnaissance du CEPD109 comme une institution européenne spécialisée. Or, à la différence du réseau établi en droit de la concurrence, de nombreux indicateurs soulignent l’inefficacité dans son rôle de coordinateur européen dans la règlement de conflits opposant des ANC110. D’autres institutions revendiquent progressivement ses prérogatives.
Cette ré-européanisation du droit du numérique par une centralisation des compétences régulatrices est perceptible dans la place accordée aux régulateurs ultérieurs pour des domaines connexes. En effet, le Digital Service Act111 et l’IAA créent des comités, regroupant des représentants d’autorités spécialisées des Etats membres112, qui restent sous la coupe directe de la Commission européenne. Deux interprétations sont ouvertes. La première repose sur la nouveauté de ces matières. En effet, les autres réseaux de l’UE jouissent à la fois d’une longue expérience comprenant une jurisprudence ancrée, là où les nouvelles régulations européennes en sont dépourvues. Ainsi, le législateur européen s’assure du respect de son application. La seconde interprétation est une mise au pas des Etats membres sur des sujets innovants ayant un impact sur les valeurs européennes113. Outre l’assurance d’une harmonisation, cette supervision supplée aux lacunes constatées du CEPD en garantissant leur caractère normatif à l’égard des Etats membres mais aussi des Etats tiers par la neutralisation des stratégies du Cheval de Troie.
La défiance des Etats membres à l’encontre de l’UE suggère une unité dans leurs rapports mutuels. Or, la technique de « law/forum shopping » démontre une véritable concurrence entre ces acteurs régionaux. Ainsi, outre une divergence avec celles de l’UE, les valeurs numériques des Etats membres diffèrent entre eux. Cette défiance a été concédée par l’habilitation légale114 et jurisprudentielle d’une ANC pour alerter, voire se substituer115 à une autre ANC déclarée défaillante. Alternativement, la CEPD peut enjoindre une ANC de trancher dans un sens préalablement défini. Sans pour autant remettre en cause les compétences accordées par le droit européen, ces procédures court-circuitent les blocages organisés par les Etats membres.
2-Une remise en cause de la pertinence du droit européen par les Etats membres
Cette mise au pas des Etats membres est questionnée par la primauté des droits européens sur les normes constitutionnelles internes.116. Les différentes crises économiques et sociales exacerbent cette problématique, contestant l’applicabilité du droit européen au nom de la hiérarchie des normes. Elle fragilise le droit européen dans son ensemble, l’éloignant ainsi de « l’homogénéité substantielle»117 des droits fondamentaux pour s’approcher d’une UE dont l’intensité du droit varie en fonction du domaine d’application. Pleinement efficace pour les matières relevant des aspects des droits civil et commercial dans la matière numérique, cette intensité se voit diminuer dans les cas de rattachement aux domaines régaliens. En effet, l’invocation contestable de la troisième phrase du second paragraphe de l’article 4 du TFUE offre aux Etats membres une « une méga clause d’ordre public »118. Or, l’omniprésence du numérique entraîne l’émission permanente de (méta)données dont la collecte et l’agrégation sont susceptibles d’être considérées comme intrusives dans la vie privée des utilisateurs, outre leur caractère civil ou commercial initial. Pour la mise en œuvre de cette intrusion, les Etats réquisitionnent, à titre onéreux, ces (méta)données traitées par des acteurs de droit privé engendrant le « capitalisme de surveillance »119. Ainsi les valeurs économiques rejoignent les nouvelles valeurs des Etats membres face auxquelles l’UE et la CEDH semblent se résigner.
Cette résignation se manifeste par des arrêts européens tolérant l’invocation de la compétence exclusive des Etats membres sur l’exercice de leur sécurité nationale. Prévue par l’article 4 §2 3ieme phrase, cette prérogative constitue effectivement une « méga clause de réserve» puisqu’elle s’étend en fonction des besoins étatiques. D’une part, dans l’arrêt LQDN rendu le 21 avril dernier120, le Conseil d’Etat accepte les conclusions du gouvernement actualisant l’objectif à valeur constitutionnelle de protection de l’ordre public121 pour le déploiement d’une collecte généralisée et indifférenciée des données de trafic et de localisation. Cette décision s’inscrit à la suite de la jurisprudence de la CJUE organisant une analyse automatisée en temps réel des données relatives au trafic et de la localisation des équipements terminaux utilisés en cas de menace grave pour la sécurité nationale ou lors d’une suspicion avérée d’activités de terrorisme122. Cette vision est confortée par la CEDH123 n’exigeant que les garanties procédurales, désormais classiques, en matière d’activités par les agences de renseignements124. Toutefois, une précision peu documentée est apportée par ses soins : les accords internationaux conclus entre agences de renseignement d’Etat(s) membre(s) avec des agences d’Etats tiers125. Ainsi, les valeurs démocratiques de l’UE sont doublement amoindries : une première fois par l’invocation à tout moment de l’article 4 §2 3ieme phrase pour se substituer au droit de l’UE, une seconde fois par la sous-traitance des opérations d’espionnage des agences de renseignement d’Etat tiers, exonérées du respect des valeurs européennes.
Les valeurs démocratiques et économiques de l’UE dirigent son action. Cependant, leur interprétation pratique est discutée. L’ajout d’une surcouche technique complexifie leur application dans le domaine immatériel. Bien que l’UE génère un cadre législatif de « confiance » pour l’élaboration d’un Marché Commun Numérique, la nature précaire des « Droits et Libertés » des résidents de l’UE constitue une menace pour ces valeurs. Cette menace ne provient pas d’un défaut, d’une lacune, d’une incohérence des lois européennes, mais de sa simple application par des humains dans un contexte conjoncturel fluctuant et de plus en plus appauvri. Le numérique ne devient qu’un succédané d’une interface humaine, le résultat informatique est une fatalité accrue par le recours à des produits extérieurs et la prise en compte de parties prenantes politiquement et économiquement étrangers. Enfin, cette fatalité est aggravée par le principe de compétence de l’UE qui repose sur une délégation originelle de compétences, bridant ainsi le pouvoir d’interprétation du droit par le juge de l’UE.
- Voir J. KELLER, La notion d’auteur dans le monde des logiciels, thèse 2017, pp. 918, disponible sur https://tel.archives-ouvertes.fr/tel-01896051/document, spéc. p.61 et s. sur l’historique du refus du brevet logiciel par le droit européen comme stratégie juridique pour rattraper le retard technologique. [↩]
- J.-M. DENQUIN, « Citoyenneté », in D. ALLAND et S. RIALS (dir.), Dictionnaire de la culture juridique, Paris, Lamy-Puf, 2003, spéc. p. 200 [↩]
- E. ALLOA et J.-B. SOUFRON, L’idéologie de la Silicon Valley, Esprit, mars 2019. [↩]
- Voir §13. [↩]
- Voir dans C. LEVALLOIS-BARTH et J. KELLER, Confiance et calcul, in C. LEVALLOIS-BARTH & M. HUNYADI (dir), La confiance numérique, (à paraître) où sont mis en avant les nomenclatures légales employant le terme pour susciter l’adhésion des citoyens. [↩]
- Voir J. EYNARD (dir.) L’identité numérique : quelle définition pour quelle protection, Larcier, 2020, V. aussi C. LEVALLOIS-BARTH, Pour la reconnaissance d’un droit à des identités numériques multiples (Executive summary), 2020. ⟨hal-03079105⟩.) par l’attribution d’un identifiant électronique est exclue de notre champ d’étude. Tout d’abord, le droit international reconnaît aux Etats une compétence exclusive en matière d’attribution de la nationalité ((CIJ, 06 av. 1955, aff. Nottebohm « Le droit international laisse à chaque Etat le soin de déterminer l’attribution de sa propre nationalité ». [↩]
- Nous pensons, par exemple, à la protection diplomatique, sur ce sujet voir A. TOURNIER, La protection diplomatique des personnes morales en droit international public, thèse 2011, mettant en avant les liens entre la nationalité et la protection diplomatique. [↩]
- Par le recours à l’état des personnes du droit international privé. [↩]
- Règlement (UE) 2019/1157 du 20 juin 2019 relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union. [↩]
- Règlement (UE) 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur. [↩]
- Contrairement au droit étasunien des données personnelles, le droit européen a été codifié permettant une régulation minimaliste de ces traitements, voir dans ce sens D. SOLOVE & W. HARTZOG, FTC and Privacy common law, Col. Law. Rev. 2011, vol. 114, n°3. [↩]
- Règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (ci-après « RGPD»). [↩]
- Voir dans ce sens le projet de Règlement sur l’Intelligence artificielle, 21 avril 2021 Com (2021) 206 final, (ci-après «IAA »). [↩]
- Au travers de projets de recherches par exemple. [↩]
- Voir dans ce sens U.S. department of state, The Clean Network où l’échange de renseignements collectées par la CIA était conditionné au refus de ses alliés de recourir à l’utilisation de technologie chinoise Huawei. [↩]
- Voir dans ce sens EDPS, Avis 5/2021, sur la stratégie en matière de cybersécurité et la directive SRI 2.0, 11 mars 2021, pp. 26, spéc. p. 6 § 3 « La stratégie vise à renforcer l’autonomie stratégique de l’Union dans les domaines de la cybersécurité et à améliorer sa résilience et sa réponse collective, ainsi qu’à construire un internet mondial et ouvert doté de solides garde-fous pour faire face aux risques pour la sécurité et les libertés et droits fondamentaux des citoyens en Europe » [↩]
- Voir infra §14 [↩]
- Voir dans ce sens CJUE, 15 janv. 2015, C-30/14, Ryanair LTD c. PR Aviation BV [↩]
- Pour une distinction entre la vision juridique et la vision informatique voir J. KELLER, La notion d’auteur dans le monde des logiciels, note supra, spéc. pp. 511 et s. §§. 1122 [↩]
- Voir dans ce sens H. RUIZ FABRI, Immatériel, territorialité, Etat, APD, Le droit et l’immatériel, tome 43, ed. Sirey, 1999, pp.187-212 [↩]
- Voir dans ce sens CJCE, International Fruit, 12 déc. 1972, C 21-24/72. [↩]
- L. SERENA ROSSI, Droits fondamentaux, primauté et autonomie : la mise en balance entre les principes « constitutionnels » de l’Union européenne, RTDE 2020, [↩]
- Citation extraite du Préambule du TFUE. [↩]
- Voir par exemple, H. GAUDIN, Les droits fondamentaux constituent-ils un frein ou un moteur de l’intégration européenne? , in Droits fondamentaux et intégration européenne, Bilan et perspectives de l’Union européenne, J. Andriantsimbazovina (Dir°), 2021, [↩]
- Supra §3. [↩]
- Cette entité pouvant être une institution de l’UE ou un simple comité. [↩]
- Voir dans ce sens GROUPE DE L’ARTICLE 29, L’avenir de la protection de la vie privée, du 1er déc. 2009, WP 168, pp. 32. [↩]
- Loi fédérale sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5) du 13 avril 2000. [↩]
- OCDE, Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel, du 23 sept. 1980, qui pose le principe :« Tout maître de fichier devrait être responsable du respect des mesures donnant effet aux principes.». [↩]
- Commissariat à la protection de la vie privée du Canada, Arguments en faveur de la réforme de la loi sur la protection des renseignements personnels et les documents électroniques, Mai 2013, spéc. p. 17. [↩]
- Selon l’interprétation faite par le Groupe de l’Article 29 dans l’avis 3/2010 (supra). [↩]
- Id. §28 , voir également CENTRE FOR INFORMATION POLICY LEADERSHIP, The case for accountability : how it enables effective data protection and trust in the digital society, discussion paper, 23/07/2018. [↩]
- Article 5 (2) du RGPD«Le responsable de traitement est responsable du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité) ». [↩]
- Article 35 du RGPD [↩]
- Voir infra §15 sur l’emploi jurisprudentiel de la notion de « risque ». [↩]
- Article 35 du RGPD [↩]
- EDPS Voir dans ce sens, EDPS, EDPS Report: EU Institutions’ use of Data Protection Impact Assessments, 20 juil. 2020, disponible sur https://edps.europa.eu/press-publications/press-news/press-releases/2020/edps-report-eu-institutions-use-data-protection_en. [↩]
- Voir sur cette notion supra §6. [↩]
- Voir dans ce sens les Lignes directrices pour le calcul des amendes infligées en application de l’article 23 §2 sous a) du règlement CE n°1/2003 JOUE, 01 sept. 2006, C 210/3. [↩]
- A. KAIROUANI, le pouvoir normatif des entreprises multinationales en droit international, RIDE, 2020, pp. 253-295, spéc. pp. 282-284. [↩]
- Sur ce sujet voir le commentaire de L. PAILLIER, CJUE, 15 juin 2021, C-645/19, Facebook Ireland, à paraître. [↩]
- Règlement (CE) n o 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits. [↩]
- Voir Cons. 3 de l’IAA. [↩]
- Sur ce sujet J. KELLER, La notion d’auteur, spéc. p. 762 §.1711 et s. [↩]
- Voir sur ce sujet voir C. CRICHTON, Projet de règlement sur l’IA (I) : des concepts larges retenus par la Commission, Dalloz Actualité, 3 mai 2021, disponible sur https://www.dalloz-actualite.fr/flash/projet-de-reglement-sur-l-ia-i-des-concepts-larges-retenus-par-commission .Voir aussi les discussions informelles portant sur la définition connexe sur la définition d’« intelligence artificielle » englobant à la fois des systèmes experts, des chatbots ou encore, tout simplement, des tableurs. [↩]
- Voir dans ce sens Art. 70 du RGPD, Art. 58 du Projet IA, Art. 49 du projet DSA. [↩]
- Voir par ex. l’Art. 22 du règlement intérieur du CEPD adopté le 25 mai 2018 conformément aux dispositions prévues par l’article 72 du RGPD. [↩]
- Voir dans ce sens, CJCE, 20 sept. 1990, S. Z. Sevince contre Staatssecretaris van Justitie, C 192/89, pt. 10, repris par CJUE, James Elliott, aff. C-613/14. [↩]
- Voir CE 21 mars 2016, Fairvesta, 368082. [↩]
- Voir infra §§19-20. [↩]
- Rés. du 7 mai 1985 concernant une nouvelle approche en matière d’harmonisation technique et de normalisation, JOCE, 85/C 136/01. [↩]
- Ex. l’Institut européen des normes de télécommunication (ETSI) dans notre matière, voir infra §12 [↩]
- Ex. L’association Digital Europe comprenant un conseil d’administration ayant autant de membres issus d’industries européennes qu’extraeuropéennes. [↩]
- Il est à noter que seules les associations « Bureau Européen des Unions de Consommateur (BEUC) et l’European Digital rights (EDRI) participent activement dans ce domaine. [↩]
- Ainsi le projet Règlement E-Privacy, complétant le RGPD dans le champ des communications électroniques, bloque au stade de négociations depuis 2016. [↩]
- Voir infra [↩]
- Ainsi pour citer notre champ d’étude, les lignes directrices 1/2020 du CEPD relatives aux voitures connectées sont restées inchangées entre sa consultation et son entrée en vigueur officielle. [↩]
- Voir dans ce sens, CEDH, 15 nov. 2016, A et B c. Norvège, C 24130/11. [↩]
- C’est-à-dire les éventuels sous-traitants, les fournisseurs de matériels, de logiciels et de supports utilisés, les délégués à la protection des données, les responsables de sécurité informatiques [↩]
- C’est-à-dire les personnes concernées, les pouvoirs publics. Cette notion pratique a été développée par une interprétation d’une mention se trouvant dans les lignes directrices du Groupe de travail de l’article 29, Lignes directrices concernant l’analyse d’impact relative à la protection des données, WP 248.01 du 4 oct. 2017. [↩]
- Voir infra §6. [↩]
- Sur la technique du renvoi préjudiciel comme cohérence du droit, Voir H. Gaudin, Le renvoi préjudiciel devant la CJUE, clé d’un ordre juridique en réseau ?, RGD, 2019 ; https://www.revuegeneraledudroit.eu/blog/2019/08/26/le-renvoi-prejudiciel-devant-la-cour-de-justice-de-lunion-europeenne-cle-dun-ordre-juridique-en-reseau/ et voir infra §§14-15. [↩]
- Voir supra §2. [↩]
- Définie par B. GOLDMAN, Frontières du droit et lex mercatoria, Arch. Philo. Du droit, 1964 p. 177, affinée par A. PELLET, La lex mercatoria, « tiers ordre juridique » ? Remarques ingénues d’un internationaliste de droit public, in Souveraineté étatique et marchés internationaux, Lexis Nexis, 2000, pp. 728, p. 53-74. [↩]
- Le Règlement 1025/20121210 définit la norme technique comme étant «une spécification technique(1), approuvée par un organisme reconnu de normalisation (4), pour application répétée ou continue (3), dont le respect n’est pas obligatoire (5)». Comp. Avec la définition fournie par l’ISO : «la normalisation comme la «spécification technique (1), ou autre document accessible au public, établi avec la coopération et le consensus ou l’approbation générale de toutes les parties intéressées (2) fondées sur les résultats conjugués de la science, de la technologie et de l’expérience (3), visant à l’avantage de la communauté dans son ensemble et approuvé par un organisme qualifié sur le plan national (4)». [↩]
- Voir dans ce sens M. DULONG DE ROSNAY, La mise à disposition des œuvres et des informations sur les réseaux, PARIS II, 2007, pp. 623, qui soutient (p.73) que les institutions de normalisation régissent, en lieu et place des États, la normalisation de points techniques et court-circuitent ainsi l’intérêt général au profit d’un intérêt particulier. [↩]
- Id. p.72 où l’auteure rappelle l’exigence de la qualité à l’élaboration des normes, éligible après le paiement d’un droit d’adhésion important. [↩]
- J. COMTE, Standards européens : la soudaine politisation d’un enjeu longtemps méconnu, Contexte Pouvoirs, 30 juin 2021,https://www.contexte.com/article/pouvoirs/les-standards-lenjeu-de-pouvoir-tendance-a-bruxelles_134787.html, résumant la position de la Commission Européenne, Strategic dependencies du 5 mai 2021, pp. 105, spéc. p. 95 et s.. [↩]
- Dans ce sens D. BRAKE, Economic competitiveness and national security dynamics, note supra, qui souligne la présidence chinoise à l’UIT démontrant l’influence pour les normes techniques. [↩]
- Third Generation Partnership Project (3GPP). Ce partenariat associe tous les organismes régionaux de normalisation, dont l’European Telecommunications Standards Institute (ETSI) et le China Communications Standards Association (CCSA). [↩]
- Sur ce sujet voir C. BARTHOLEMEW, China and 5G, Issues in Science and Technology, Vol. XXXVI, No. 2, Winter 2020. [↩]
- Dans ce sens le communiqué de presse de l’association Digital Europe, Specific requirements for harmonised standards, 10 mars 2021, spéc. p.10 où les normes techniques ne relèveraient que de l’industrie et non des pouvoirs politiques/juridiques. [↩]
- V. A. VAN WAEYENBERGE, La normalisation technique en Europe. L’Empire (du droit) contre-attaque, RIDE 2018/3, pp. 305, au sujet de l’arrêt CJUE, James Elliott, C-613/14, 27 oct. 2016. [↩]
- Article 29, Opinion 03/2017 on Processing personal data in the context of Cooperative Intelligent Transport Systems (C-ITS), 4 oct. 2017. [↩]
- Voir par exemple le droit de la propriété intellectuelle avec l’arrêt CJUE, 24 nov. 2011, SABAM. [↩]
- Usedsoft CJUE, 3 juil. 2012, Usedsoft ,C128/11 [↩]
- Voir r J. GSTALTER, la Saga Microsoft brillamment résumée in Open source, interopérabilité et concurrence : à l’aube de l’arrêt Microsoft, Concurrence, 2007, n°3, p. 46. [↩]
- Initié par l’Arrêt de la CJCE du 27 sept. 1988, A. Ahlström Osakeyhtiö et autres contre Commission des Communautés européennes, C89, 104, 114, 116, 117 et 125 à 129/85. [↩]
- Voir dans ce sens CJCE du 3 sept. 2008, Kadi c. Conseil de l’U.E., Commission des CEE, C 402/05 et 415/05. [↩]
- CJUE SCHREMS, 6 juil. 2015, C 362/14. [↩]
- RÈGLEMENT (UE) 2016/679 du 27 avr. 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données [↩]
- CJUE 16 juil. 2020, Schrems (3), 311/18 [↩]
- Voir commentaire de PINTO DE ALBURQUE, sous CEDH, Big brother c. R.U., 25 mai 2021. [↩]
- Voir dans ce sens, H. GAUDIN, Standards nationaux de protection des droits fondamentaux et jurisprudence de la Cour de justice de l’Union européenne, in MÉLANGES OFFERTS À FRÉDÉRIC SUDRE, LexisNexis, 2018, pp. 854, spéc. p. 255-263. [↩]
- Sur ce sujet voir J. KELLER, La notion d’auteur, supra, p.566 et s., §§.1234-1242 voir également, N. LENOIR, La collecte des preuves dans le cadre de procédures judiciaires : l’amorce d’un dialogue entre la France et les États-Unis, P.A., 04/06/2014, n°111 p.6. [↩]
- C’est-à-dire l’instrumentalisation du droit comme outil martial. [↩]
- Voir préc. N. LENOIR. [↩]
- Et les ANC voir dans ce sens CNIL, [↩]
- Voir infra B. sur les réserves dans les domaines régaliens relevant de l’article 4 §2 du TUE. [↩]
- Voir dans ce sens SCHREMS 1 (6 oct. 2015, C 362/14) 2016 et SCHREMS 2 (note supra). [↩]
- Contra A. LUCAS, La responsabilité du fait des choses immatérielles, MELANGES CATALA, Litec, 2001, pp. 1023, spéc. p. 817. [↩]
- CEDH, 25 mai 2021, Big Brother c. Royaume-Uni, Req. no58170/13, 62322/14 et 24960/15 et CEDH,25 mai 2021, Centrum för Rattvisa c. Suède, Req. no35252/08. [↩]
- Le projet de règlement I.A. prévoit un tel régime responsabilité. [↩]
- CJUE 10 juin 2021, C 65/20, Krone-Verlag, sur la non-applicabilité de la responsabilité du fait des choses immatériels pour les produits défectueux. [↩]
- Dans ce sens, voir V.-L. BENABOU, L’Originalité, un janus juridique : regards sur la naissance d’une notion autonome de droit de l’Union, MELANGES A. LUCAS, Lexis Nexis, 2014, spéc. p. 17,. à propos des effets de l’arrêt Premiere League (C-403/08) du 4 oct. 2011. [↩]
- Voir dans ce sens le Considérant 146 du RGPD : «La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement.». [↩]
- V.-L. BENABOU, note supra, spéc. p. 137. [↩]
- Le droit d’auteur n’étant devenu une compétence européenne partagée en 2019 par la directive 2019/790 du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique et modifiant les directives 96/9/CE et 2001/29/CE. [↩]
- Voir par exemple article 1 du Protocole 1 de la CEDH. [↩]
- Sur le droit d’épuisement des droits voir CJUE Usedsoft (note supra), sur le droit à l’interopérabilité voir supra J. GSTALTER, Open source , sur l’application du droit de la concurrence, CJCE 06 avr.1995 Magill, note M. VIVANT, l’arrêt Magill : une révolution, D. 1996, chron. p.119. [↩]
- CJUE 07 déc. 2006, C 306/05, SGAE c/ Rafael Hoteles. [↩]
- H.-J. LUCAS, La CJUE respecte-t-elle les conventions internationales sur le droit d’auteur et les droits voisins, in MELANGES A. LUCAS, note supra, spéc. p.558. [↩]
- A. BENSAMOUN,Réflexions sur la jurisprudence de la CJUE : du discours à la méthode, PI. 04/2014 pp. 139-142 spéc. p. 141 qui doute d’une telle parenté ; Voir contra T.-E. SYNODINOU, Réflexions autour de la récente et féconde œuvre jurisprudentielle européenne en droit d’auteur, P.I., 04/2015, pp. 149-157, spéc. p. 154, ou V.-L. BENABOU, L’arrêt RAAP ou quand compétence externe de l’Union et fondamentalisation des droits de propriété intellectuelle provoquent un tsunami, D.IP, 2021, p.30. [↩]
- V.-L. BENABOU, Retour sur dix ans de jurisprudence de la CJUE en matière de propriété littéraire et artistique : les méthodes, PI 04/2012, n°43, p. 140. [↩]
- Voir H. GAUDIN, Chronique de droit général de l’Union européenne, Cahiers de droit européen (n°2-3), §75 et. s. [↩]
- Voir dans ce sens les griefs formulés par l’association NOYB, menée par M. SCHREMS, à l’égard de la Data Protection Commission, Irish DPC openly acknowledges: It does not decide about GDPR complaints. At least 99.93% see no decision, despite €19.1 million funding, 21 av. 2021, disponible surhttps://noyb.eu/en/irish-dpc-handles-9993-gdpr-complaints-without-decision . [↩]
- Voir dans ce sens les dispositifs antiterroristes voulus par la France mentionnés dans le B. [↩]
- Voir supra §§14-15. [↩]
- Art. 68 du RGPD. [↩]
- Voir dans ce sens infra, mais aussi la décision de la Commission de ne pas recourir à l’article 60 du RGPD offrant un pouvoir disciplinaire d’une ANC défaillante au CEPD mais de se saisir directement de la question. [↩]
- Proposition de Règlement relatif à un marché intérieur des services numériques, Com(2020) 825 final. [↩]
- Bien qu’explicitement prévue aux articles 48 du DSA et 56 de l’IAA, l’obligation de la création des autorités constitue également un [↩]
- Voir infra §§20-21. [↩]
- Art. 60 et s. du RGPD. [↩]
- Voir L. PAILLER, note sous CJUE, 15 juin 2021, C-645/19, Facebook Ireland, à paraître. [↩]
- Voir dans ce sens l’importante bibliographie autour des arrêts Solange (1974 et 1986) rendus par la Cour de Karlsruhe. [↩]
- D. BLANC, Assurer le caractère commun du droit de l’Union : de l’uniformité d’application à l’homogénéisation ? une main tendue au bout d’un bras de fer, in RÉSEAU DE NORMES, RÉSEAU DE JURIDICTIONS, dir. H. GAUDIN, spéc. p. 158 citant H. GAUDIN, quelle stratégie contentieuse de protection des droits fondamentaux devant le juge national en période de crise : réflexe constitutionnel et réflexe européen, RGD 2020. [↩]
- H. GAUDIN, in G. PEPIN, Le Conseil d’État évite la confrontation avec le droit européen sur la conservation des données, Contexte Numérique, 22 av. 2021, https://www.contexte.com/article/numerique/le-conseil-detat-evite-la-confrontation-avec-le-droit-europeen-sur-la-conservation-des-donnees_130924.html [↩]
- Terme de S. ZUBOFF, L’ÂGE DU CAPITALISME DE SURVEILLANCE, Éd. Zulma, Paris, 2020. [↩]
- C.E., ass. Cont. 21 avr. 2021, French Data Network, T. DOUVILLE et H. GAUDIN, Un arrêt sous le signe de l’exceptionnel, D. 2021, n°23, p. 1268. [↩]
- Voir p. 2 « la réponse apportée par la CJUE aux questions préjudicielles (…) a manifestement méconnu le principe d’attribution prévu à l’article 5 du traité sur l’Union européenne en empiétant sur les compétences appartenant aux Etats membres en vertu de l’article 4 §2 de ce traité et (…) que cette réponse n’est pas de nature à garantir l’effectivité des objectifs à valeur constitutionnelle (…) de protection de l’ordre public ». [↩]
- CJUE, 6 oct. 2020, La Quadrature du Net e.a. contre Premier ministre e.a. C-511/18, C-512/18 et C-520/18 [↩]
- CEDH, 25 mai 2021, Big Brother c. Royaume-Uni, Req. no58170/13, 62322/14 et 24960/15 et CEDH,25 mai 2021, Centrum för Rattvisa c. Suède, Req. no35252/08. [↩]
- F. SUDRE, et al., LES GRANDS ARRÊTS DE LA CEDH, PUF, 2019, 9ieme éd., spéc. pp. 503-529 [↩]
- Voir supra 6. [↩]
Table des matières