Le nouveau paysage de la conformité à l’heure des premiers bilans : une inspiration commune, des autorités de régulation qui ont pris leur essor et un contentieux nourri à venir

L’heure des premiers bilans a sonné s’agissant du nouvel ensemble de réglementations majeures qui, bien qu’ayant des sources et des raisons d’être différentes, se sont imposées aux entreprises et au public. Parmi celles-ci, le règlement européen sur la protection des données¹ (RGPD), adopté dans une logique d’harmonisation de la protection des données à l’échelle de l’Union européenne, ou encore en matière d’anticorruption, la loi n° 2016-1691 dite loi Sapin II², qui a vu le jour à la suite de scandales telle l’affaire Cahuzac, qui a permis à la France de s’aligner sur des standards européens et internationaux comme le Foreign Corrupt Practices Act aux États-Unis. La loi n° 2017-399 du 27 mars 2017³, qui instaure un devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre, est appelée à être renforcée et s’inscrit également dans cette lignée.

Télécharger

En pratique, ces nouvelles normes ont eu un impact significatif sur l’organisation fonctionnelle et la stratégie opérationnelle des entreprises. Il y a un véritable cousinage entre ces réglementations, car toutes présentent un dispositif organisationnel commun. Leur entrée en vigueur a fait émerger une nouvelle logique de conformité, à travers notamment le principe d’« accountability » ou de démontrabilité – très éloigné de la culture française, habituée jusque-là à un régime déclaratif et à l’accomplissement de démarches a priori⁴. Sur le plan technique, la loi Sapin II, comme le RGPD, imposent la mise en place d’outils et de processus internes très similaires, dont les acteurs doivent pouvoir apporter la preuve en cas de contrôle. C’est également le cas de la loi pour le devoir de vigilance, qui impose aux plus grandes entreprises d’établir et de publier un plan de vigilance visant à identifier puis à prévenir les risques en matière de santé, de sécurité, d’environnement, mais aussi de droits humains et de liberté fondamentales posés par leurs propres activités mais aussi par celles de leurs filiales, sous-traitants et fournisseurs, en France comme à l’étranger.

La recrudescence des contrôles diligentés par les autorités réglementaires et la lourdeur des sanctions encourues ont, elles aussi, joué à l’évidence un rôle important dans l’évolution et la prise de conscience de l’approche préventive, et donc de la fonction de conformité dans toutes les entreprises impactées par ces réglementations⁵. Aujourd’hui, les sociétés ne peuvent plus attendre d’être sanctionnées pour s’approprier les exigences de conformité : d’une part, en raison des sanctions encourues, qui ont connu une augmentation vertigineuse, d’autre part, parce que la conformité participe désormais à l’accomplissement des objectifs de l’entreprise. Une conformité adaptée aux spécificités de chaque entreprise, car chacune doit déterminer les sujets les plus importants – selon son environnement et la nature de ses activités – sur lesquels elle devra placer stratégiquement ses efforts de conformité⁶.

Enfin, on constate que le rôle de régulation confié originellement à l’État régalien a été délégué à des acteurs indépendants du pouvoir politique – les autorités de régulation –, qui ont vu leur mission significativement s’élargir. La multiplicité des interactions avec ces régulateurs et l’augmentation corrélative des procédures de sanction administrative ont donné naissance à un essor considérable du contentieux réglementaire qui se veut, tant sur le plan organisationnel que procédural, aligné sur les procédures judiciaires.

C’est la grande nouveauté du phénomène en cours depuis un peu plus de deux ans : un mouvement inéluctable de judiciarisation auquel les acteurs doivent fortement se préparer.

I. Nouvelle logique de responsabilisation : des choix stratégiques de conformité s’imposent, les autorités de régulation n’étant plus des « juges de paix »

En matière de conformité, après la déclaration, le mot d’ordre est dorénavant celui de la responsabilisation. Ainsi, en matière de protection des données, le RGPD met un point d’honneur à l’intégration du principe d’accountability en obligeant les acteurs à mettre en œuvre des mécanismes permettant de démontrer leur conformité aux exigences de protection des données personnelles⁷.

Concrètement, les acteurs économiques doivent être en mesure d’apporter la preuve des études d’impact menées en interne et des solutions techniques adoptées pour se conformer aux exigences réglementaires, en justifiant l’intervention d’un délégué à la protection des données (« DPO » ou « DPD ») ou d’un conseil externe. Ceci est fondamental, d’autant que cette logique de « démontrabilité » implique, au stade des contrôles réglementaires, un véritable renversement de la charge de la preuve, celle-ci pesant désormais sur les acteurs qui feront parfois face à une présomption de non-conformité.

C’est un renversement complet de paradigme, et les acteurs doivent adapter leurs procédures internes de développement puis de gestion de projets, au travers du concept de « privacy by design » prévu par le RGPD : la conformité doit se penser en amont, puis tout au long de la vie d’un projet.

Parmi tous les outils et processus internes permettant aux acteurs de faire valoir leur mise en conformité, la mise en place d’une cartographie des risques semble désormais constituer une étape incontournable, aussi bien en matière de protection des données, de réglementation anticorruption que d’obligation de vigilance.

En pratique, l’établissement d’une cartographie fait reposer l’identification des risques sur une logique commune : il s’agit tout d’abord de mener une analyse objective, systématique et documentée des risques internes et externes, nécessitant la conduite de due diligences des partenaires commerciaux et prestataires avec qui les sociétés conduiront leurs affaires. Une phase d’identification des risques « à 360° » est requise : tous les départements des entités d’un même groupe doivent être impliqués afin d’identifier les risques. D’autres mesures sont mises en avant, notamment l’instauration de codes de conduite, de politiques internes intégrées ou encore la mise en place d’un dispositif d’alerte interne⁸.

Bien évidemment, les autorités de régulation ont une sensibilité différente quant aux choix « formels » ou « méthodologiques » des outils de conformités mis en place par les sociétés : l’Agence Française Anticorruption (« AFA ») a d’ailleurs très récemment affirmé ne vouloir sanctionner que les manquements aux obligations légales, à l’exclusion de toute obligation facultative ou d’une obligation ajoutée par une recommandation émise par les autorités de régulation. La CNIL semble quant à elle aller au-delà des exigences légales en fixant ses propres critères : il sera ainsi prudent que les acteurs suivent les recommandations préconisées par ses lignes directrices, quand bien même elles ne seraient pas en tant que telles contraignantes et outrepasseraient les exigences de conformité résultant du RGPD.

La responsabilisation des acteurs va également de pair avec une logique de « reporting  ». Ainsi, la loi Sapin II instaure un mécanisme de « lanceur d’alerte » dont le champ d’application est extrêmement large, et peut même englober toute violation des obligations en matière de protection des données personnelles. Dans le cadre du RGPD, ce reporting est concrétisé par les procédures de notification des incidents de sécurité auprès des autorités de contrôle, et par la possibilité offerte aux utilisateurs de faire des signalements auprès de la CNIL en cas de violation de leurs droits. Cette logique de reporting se retrouve aussi dans d’autres secteurs, comme le domaine de la santé, où la loi Bertrand⁹ a imposé aux entreprises entretenant des liens d’intérêt avec des professionnels de santé de les rendre publics deux fois par an (au 1^er septembre et au 1^er mars) sur une plateforme mise en place par le gouvernement.

Ces exigences de responsabilisation et de reporting ont des impacts concrets sur le fonctionnement des entreprises, dans la mesure où la coordination de différents services sera exigée. Par exemple, les obligations déclaratives en matière de transparence santé imposera de mettre en place des procédures internes permettant de tracer précisément toute convention signée, rémunération ou avantage octroyé à un professionnel de santé. À l’entreprise de mobiliser voire recruter les ressources nécessaires pour remplir ces obligations.

Le RGPD et la loi Sapin II ont également fait émerger de nouveaux acteurs au sein des entreprises : le délégué de la protection des données ou encore le responsable de la conformité. Tenus d’assurer l’observation, tant par la direction ainsi que par les employés, des obligations de conformité, ils sont – de par leur statut – les interlocuteurs principaux des autorités de régulation¹⁰.

L’émergence de ces nouveaux acteurs, qui internalisent la conformité au sein des organisations, s’accompagne d’un désengagement des autorités, avec lesquelles les interactions de prévention diminuent.

En effet, toutes les formalités préalables, telles les déclarations auprès de la CNIL, ont été significativement réduites. Les acteurs doivent être en mesure d’évaluer la conformité de leurs propres procédures sans pouvoir compter nécessairement sur une validation préalable des autorités leur garantissant une sécurité. Depuis l’entrée en vigueur du RGPD, la CNIL s’abstient également de donner des conseils préventifs personnalisés concernant la mise en œuvre pratique des exigences réglementaires.

La logique est désormais bien celle du contrôle a posteriori, qui va de pair avec l’augmentation des pouvoirs d’enquête et de sanction. La responsabilisation se conjugue avec une responsabilité civile (et pénale) accrue : l’autorité de régulation ne participe plus à la définition du schéma de conformité comme elle a pu le faire, elle contrôle désormais a posteriori. Ceci implique là aussi une adaptation des acteurs économiques :  il leur faudra désormais bien documenter leurs choix.

2. Le nouveau statut des autorités de réglementation

Le statut des autorités de régulation en France n’a cessé de se renforcer depuis leur création, et certaines se sont mêmes érigées en véritables institutions référentes d’un secteur régulé. Ce mouvement d’externalisation de la régulation à un organisme indépendant s’est inspiré de cultures réglementaires étrangères, dans la mesure où la fonction de régulation en France était traditionnellement dévolue à l’État régalien. Si la notion d’autorité administrative indépendante a émergé avec la loi du 6 janvier 1978 instituant la CNIL¹¹, il existait de nombreuses hésitations sur la place à attribuer à ces institutions au statut hybride : à la fois dépendantes de l’exécutif, puisqu’ayant le statut d’administration, mais qui se voulaient indépendantes.

Les besoins d’interventions renforcées dans certains domaines réglementaires où l’action publique manquait d’efficacité, la nécessité d’une garantie d’indépendance dans des secteurs sensibles, mais également la nécessité pour certains secteurs d’être régulés par un organisme disposant d’une plus grande expertise, ont conduit l’État à attribuer davantage d’autonomie à ces autorités administratives, lesquelles disposent aujourd’hui d’une véritable légitimité institutionnelle.

Certains secteurs, tels les secteurs énergétique et financier, présentent une technicité qui nécessite une maîtrise et une compréhension plus approfondies des entreprises régulées, et donc une spécialisation. C’est ici que certaines autorités de régulation, telles que l’Autorité de la Concurrence, la Commission de Régulation de l’Energie (CRE) ou l’Autorité de Régulation des Communications Électroniques et des Postes (ARCEP), plus mobiles et plus sensibilisées à leur secteur d’activité, ont trouvé leur légitimité, aussi bien pour surveiller les secteurs, pour coopérer avec les acteurs que pour les sanctionner. La CNIL est quant à elle un exemple marquant et représentatif du gain croissant en autonomie des autorités de régulation se justifiant par la nécessité d’offrir des garanties renforcées d’indépendance dans un secteur attaché au libertés fondamentales.

Les autorités se sont multipliées : alors qu’en 2001, le Conseil d’État en comptait entre 25 et 30, en 2015 le nombre d’autorités de régulation a été estimé à 50. Parmi ces nouvelles autorités, on note notamment la création de l’AFA, née avec l’entrée en vigueur de la loi Sapin II.

La fonction de régulation de ces autorités se caractérise tout d’abord par une activité normative particulière qui requiert d’adapter la loi et le règlement à des situations concrètes et à des contraintes opérationnelles réelles. C’est ainsi que s’est développé ce que certains auteurs nomment le droit souple : lignes directrices, chartes, recommandations, lesquelles constituent dans le monde réglementaire des outils de conformité fondamentaux tant pour les praticiens du droit que pour les opérationnels. Ces normes posent par ailleurs la question de leur place dans la hiérarchie des normes : dans un processus de conformité, comment peuvent-elles être contestées ?

Des procédures participatives sont de plus en plus pratiquées par les autorités par la voie par exemple de consultations publiques qui ont pour objet de faire intervenir des acteurs concernés dans l’adoption de lignes directrices, de manière à collecter leur point de vue et à rester aligné avec la réalité et les enjeux de la pratique intéressée. Une telle concertation a été très récemment mise en place par la CNIL relativement aux recommandations pratiques récemment proposées sur les cookies, dans l’attente de l’entrée en vigueur toujours reportée du règlement e-Privacy¹².

Le pouvoir normatif conféré aux autorités réglementaires est ainsi essentiel, et permet d’associer les acteurs économiques ou les professionnels à l’élaboration des décisions les concernant, et donc d’assurer l’efficacité, l’acceptation et l’exécution de leurs décisions, comme l’anticipait dès 2001 le Conseil d’État.

Toutefois, force est de constater que cette soft law locale peut causer des difficultés d’anticipation et d’insécurité pour des acteurs transnationaux censés être gouvernés par une réglementation commune en provoquant notamment des disparités avec la soft law en vigueur dans certains États membres. Ainsi, alors que le RGPD avait vocation à harmoniser la législation de protection des données au sein de l’Union européenne, on constate que son application locale varie d’un pays à l’autre sur des domaines pour lesquels une marge de manœuvre a été laissée aux États membres, et pour des sujets aussi importants que le traitement de données sensibles, les mesures de sécurité, le registre des données etc.¹³

Afin de contourner les écueils des divergences entre réglementations nationales, une solution a été d’identifier l’autorité chef de file qui serait compétente en cas de contrôle, afin d’orienter la mise en conformité sur les lignes directrices pertinentes de l’autorité dont ces organisations relèvent. Ceci est notamment vrai pour les données personnelles. Ces questions sont complexifiées lorsqu’il existe des flux importants, et que le lieu de prise des décisions opérationnelles n’est pas facilement localisable. Un véritable travail de conformité « stratégique » est dorénavant inévitable.

3. La judiciarisation de la conformité réglementaire

Outre un pouvoir normatif accru, certaines autorités se sont vues conférer des pouvoirs de contrôle et de sanction très larges qui ont ouvert la voie à une véritable juridictionnalisation des autorités de régulation. Ces pouvoirs se sont tout d’abord imposés comme les corollaires nécessaires à la mission de régulation qui leur était dévolue, dans la mesure où ces instruments coercitifs étaient indispensables pour dissuader les enfreints à ces réglementations.

C’est ainsi par exemple que l’élargissement des pouvoirs de sanction confiés à la CRE est apparu nécessaire pour assurer l’efficience des dispositions du Règlement REMIT¹⁴. La vague d’investigations qui a succédé la réformation de cette autorité de contrôle en 2016, en particulier sur les pratiques associées à des abus de marché, a d’ailleurs sans aucun doute contraint les intervenants du secteur énergétiques à intégrer plus activement les exigences de conformité imposées par le REMIT.

Tout en accordant une période de tolérance aux acteurs, la CNIL a quant à elle, dès l’entrée en vigueur du RGPD, confirmé son intention d’exercer pleinement son pouvoir de sanction en annonçant les domaines prioritaires sur lesquels elle envisageait d’opérer ses contrôles, dont notamment les obligations de sécurité et de durée de conservation des données.

Le moins que l’on puisse dire est que cette promesse a été tenue, puisque la CNIL a multiplié le nombre sanctions pécuniaires prononcées sans même émettre d’injonction ou de mise en demeure préalable. On constate notamment que la CNIL, qui antérieurement ne pouvait excéder certains plafonds concernant le montant des amendes prononcées, n’hésite plus, maintenant que la loi l’y autorise, à imposer des sanctions pécuniaires se disant « pédagogiques », ayant vocation à toucher par effet « boule de neige » des secteurs entiers, tous domaines confondus : géants du numérique, assurances, immobilier, énergie, etc. C’est un message fort qui est ici envoyé aux acteurs concernés par le traitement de données personnelles, conjugué à une volonté de transparence à travers la publication d’un nombre croissant de décisions de sanction¹⁵.

Et les acteurs ne peuvent plus légitimement s’attendre à une mise en demeure et à un échange préalable avec les autorités de contrôle avant le prononcé d’une sanction : certaines autorités, comme la CNIL, ayant identifié officiellement ces zones de « fermeté » pour lesquelles un manquement pourra entraîner des sanctions immédiates.

Pour autant, certaines autorités de régulation, comme l’AFA, accordent encore une importance particulière aux mesures correctives prises par les personnes mises en causes avant la procédure de sanction. En conséquence, l’amélioration ou les rectifications apportées à un programme de conformité à la suite d’un contrôle de l’AFA peuvent permettre d’éviter l’application d’une sanction administrative. C’est ainsi que la commission des sanctions de l’AFA a privilégié dans sa dernière décision¹⁶  la rectification des moyens de conformité mis en place par la société poursuivie à toute sanction, allant de ce fait à l’encontre des propres réquisitions du directeur de l’AFA.

Ce dialogue pourra dans ce cas être déterminant quant aux suites qui seront données au dossier. Il se doit d’être cohérent et suffisamment bien préparé non seulement pour avoir une chance de contourner la saisine de la Commission des sanctions, mais également pour minimiser les risques encourus en cas d’initiation d’une procédure de sanction administrative. En effet, l’approche coopérative d’un acteur est un paramètre crucial permettant de réduire les sanctions prononcées. Le rôle des conseils pour accompagner ce dialogue, est, lui aussi, essentiel.

4. Une stratégie précontentieuse s’impose devant les autorités de contrôle

La judiciarisation de la conformité ressort comme l’un des enseignements fondamentaux des bouleversements réglementaires opérés depuis un peu plus de deux ans. Ce phénomène va inévitablement pousser les acteurs à adopter et appliquer des réflexes inhérents jusqu’ici au contentieux judiciaire classique à la stratégie de défense développée devant les commissions de sanction. Ainsi, d’un point de vue procédural, la question de la compétence de l’autorité de régulation est un élément qui se hisse tout naturellement au rang des premiers arguments procéduraux soulevés en raison des nombreuses incertitudes juridiques qui entourent cette problématique. Et qui, comme on l’a vu avec la décision Google face à la CNIL¹⁷, ne sont pas prêtes d’être clairement résolues.

Par ailleurs, la question du respect des garanties fondamentales dans le cadre des investigations conduites par l’autorité, l’exercice de leur pouvoir d’instruction, de poursuite et de sanction, ou encore les principes régissant la charge de la preuve sont des arguments procéduraux, qui recueillent toute l’attention des praticiens dans la préparation de la défense de leurs clients.

Il est ici tout à fait intéressant de constater, quelle que soit l’autorité de régulation incriminée, que les premières décisions de sanctions traitent d’une multitude d’arguments procéduraux, et montrent que ce contentieux ne fait que commencer.

En plus des éléments procéduraux, la défense de l’acteur poursuivi se construit nécessairement sur le fond du dossier et à ce titre sur son interprétation factuelle et l’interprétation concrète de la règle de droit appliquée qui est souvent précisée, voire élargie par une soft law émise par l’autorité de régulation. Dans cette perspective, le cumul par l’autorité de régulation de ses pouvoirs normatifs et de sanction a créé des controverses, ces autorités pouvant apparaître comme des gendarmes chargés d’appliquer leurs propres normes¹⁸.

Ainsi, dans la mesure où la soft law émise directement par les autorités de régulation européenne et locales vient s’ajouter à la réglementation et influe considérablement sur l’interprétation du texte, un contrôle a posteriori de ces règles « interprétatives » apparaît comme une mesure de légitimité nécessaire.

L’intervention d’une autorité judiciaire dans le contentieux réglementaire a donc vocation à constituer un garde-fou, garant de l’interprétation et de l’application de la norme appliquée d’une part, mais aussi assurant le respect des fondamentaux du procès équitable : le principe du débat contradictoire et de l’impartialité. 

Les défis auxquels les acteurs font désormais face dans le nouveau paysage de la conformité sont donc multiples : identification et cartographie des risques, mise en place des procédures, démonstrations, preuve et défense dans un précontentieux et contentieux où beaucoup de risques de procédure restent à circonscrire. Ce sont des défis importants, et la promesse d’un contentieux nourri ne peut qu’inciter à s’y bien préparer.