Numéro cinq
Retrouvez le numéro cinq de Third : La sécurité dans un monde numérique
Retrouvez le numéro cinq de Third : La sécurité dans un monde numérique
Pour un non-juriste, le Droit est souvent imaginé comme le domaine de la logique et de la rationalité implacable, où les règles juridiques applicables constitueraient un ensemble clair et lisible. Selon cette approche idéale (pour ne pas dire utopique), la sécurité juridique serait le standard et les professionnels du Droit seraient les porte-paroles de textes qu’il leur suffirait d’appliquer pour résoudre des situations pratiques, à la manière d’un mathématicien qui résout une équation.
La réalité est toute autre puisque les règles sont nombreuses1 et enchevêtrées. Dans cet univers, l’insécurité juridique s’impose comme une préoccupation quotidienne et les professionnels du Droit jouent un rôle capital dans l’identification des règles applicables, leur interprétation et le conseil des opérateurs économiques.
Cette contradiction entre croyance et réalité invite à interroger les notions de sécurité et insécurité juridique :
– Sécurité juridique : le terme « sécurité » désigne « l’état d’esprit confiant et tranquille de celui qui se croit à l’abri du danger ». L’adjectif « juridique », quant à lui, semble plutôt préciser « l’origine du danger, c’est-à-dire le danger venant d’une règle de droit, soit-elle de nature législative ou réglementaire ou bien d’origine jurisprudentielle »2.
Autrement dit, la sécurité juridique correspondrait au sentiment de confiance quant à l’absence de danger provenant des règles de Droit. Ainsi, le principe de sécurité uridique « renvoie à la qualité de la règle de droit et tend à garantir une effectivité des droits des justiciables »3.
– Insécurité juridique : la doctrine souligne qu’ « on doit constater que l’insécurité juridique ne peut se définir qu’en creux, c’est-à-dire par rapport à une autre notion, bien plus consistante en droit, celle de sécurité juridique. C’est ainsi qu’il y a insécurité juridique lorsque les conditions de la sécurité juridique ne sont pas ou plus remplies ou lorsque certains de ses éléments constitutifs sont remis en cause », à savoir l’accessibilité, l’intelligibilité et la prévisibilité du Droit4.
Selon un auteur, l’insécurité juridique « se nourrit de l’inflation normative comme de l’instabilité des règles ou encore du déclin de l’art de légiférer. Parce qu’elle fait obstacle à la connaissance des règles, elle provoque une situation d’angoisse face au droit. C’est l’insertion de la norme juridique dans l’ordre social qui est en cause, et donc sa vocation à régir réellement et durablement les situations juridiques, sans compter le discrédit qui affecte alors le droit. L’insécurité juridique, c’est la règle qui se dérobe5 ».
Si l’on considère que l’insécurité juridique est la norme, alors comment entreprendre dans un monde si (mal) règlementé ? Comment être en mesure d’innover alors que les règles sont complexes, changeantes, floues ou absentes ?
Ces questions se posent avec encore plus d’acuité dans le secteur numérique où s’épanouissent les nouveaux modèles, usages et technologies. Le numérique est aujourd’hui le théâtre de l’innovation et cela en fait un objet d’étude passionnant pour le rapport entre la sécurité et l’insécurité juridique.
L’objectif de cet article est d’explorer le rapport ambigu entre réglementation et innovation afin de présenter une démarche pour que les entrepreneurs du numérique puissent sécuriser leurs opérations en tenant compte des contraintes juridiques.
Réglementer permet de fixer un cadre
Le dictionnaire Larousse définit le terme « réglementation » comme l’ « ensemble des mesures légales et réglementaires régissant une question ». Ainsi, l’essence de la réglementation est de fixer des contours permettant d’encadrer les questions qui affectent notre société. Formulé autrement, les règles juridiques constituent le fondement du vivre ensemble et structurent notre société en régissant les relations entre les personnes.
La notion de réglementation est donc intrinsèquement liée à la sécurité, notamment en ce qu’elle donne de la prévisibilité dans la gestion de situations litigieuses ou du rapport aux choses. C’est pourquoi, il est bénéfique pour les opérateurs économiques qu’un cadre réglementaire clair régisse leurs activités, car cela les sécurise. Pour illustrer ce propos, nous avons pu constater que la récente invalidation du privacy shield6 – qui encadrait et ainsi permettait le transfert de données à caractère personnel entre l’Union Européenne7 et les États-Unis – par une décision de la Cour de Justice de l’Union Européenne, a contraint l’ensemble des opérateurs concernés à adopter de nouvelles mesures (notamment opérationnelles et contractuelles) pour tenter de s’adapter, sans toutefois avoir la garantie que ces mesures soient conformes aux principes issus du RGPD8. La disparition d’un élément juridique a ainsi placé les entreprises dans une situation d’insécurité.
La définition du terme « réglementation » implique également, qu’avant d’édicter une règle juridique, il convient de connaître la question que l’on souhaite régler. On perçoit ainsi une limite inhérente à la réglementation : le Droit régit a posteriori des situations factuelles connues et appréhendables. En conséquence, en présence d’une situation nouvelle, il existe toujours un temps de latence pendant lequel le cadre réglementaire est inexistant ou inadapté, car fondé sur la situation ancienne. Et c’est précisément pendant ce temps de latence que le Droit, pourtant l’instrument par excellence de sécurité, peut être source d’insécurité.
Innover questionne les frontières du Droit
Le même dictionnaire définit le terme « innovation » comme l’ « introduction, dans le processus de production et/ou de vente d’un produit, d’un équipement ou d’un procédé nouveau ». L’innovation correspond donc à la création et l’émergence d’une nouveauté. Sans forcément être révolutionnaires, de nouveaux objets, procédés et situations émergent grâce à l’esprit d’entreprise.
On peut distinguer trois types d’innovations pour les besoins de notre propos :
– L’innovation incrémentale (amélioration de ce qui existe) consiste à améliorer un produit ou service existant sans bouleverser le marché ou à rendre ce dernier plus accessible. On peut citer par exemple l’émergence des plateformes de location de logement pour de courtes durées qui sont venues améliorer le marché, déjà existant, des locations courtes durées, en facilitant la mise en relation entre loueurs et locataires.
En règle générale, l’innovation incrémentale peut être appréhendée par les règles juridiques existantes puisque la situation sous-jacente est déjà connue et pas fondamentalement bouleversée par l’innovation. Des adaptations des règles sont réalisées par les juges avec l’interprétation et par le législateur avec le renforcement des régimes juridiques.
– L’innovation radicale (nouveauté totale) consiste en la création d’un nouveau produit ou service qui crée un nouveau marché ou transforme en profondeur un marché existant. C’est le cas notamment des voitures autonomes qui vont transformer le marché automobile en allant au-delà de la conception du véhicule conduit par un humain.
En présence d’une innovation radicale, les règles juridiques sont inexistantes, ce qui impose de créer un cadre nouveau. Dans l’exemple des voitures autonomes, les règles existantes sont fondées sur le fait qu’un véhicule doit être maîtrisé par un conducteur personne physique et sont donc inapplicables à la situation factuelle nouvelle (l’absence de conducteur), ce qui impose, entre autres, de modifier les traités internationaux sur la circulation routière ou les règles relatives aux assurances automobiles.
– L’innovation adjacente (nouveauté partielle) consiste à utiliser un produit, un service ou une technologie nouvelle sur un marché existant. Un exemple d’innovation adjacente pourrait être les crypto-actifs, issus de l’utilisation de technologies de stockage et de transmission d’informations (blockchain) dans l’industrie financière.
– L’innovation adjacente se trouve généralement partiellement et imparfaitement régie par des règles existantes, ce qui conduit à adapter les règles existantes (ex : la taxation des plues-values) ou à en créer de nouvelles (ex : les levées de fonds en crypto-actifs). En ce qui concerne les levées de fonds par émission de crypto-actifs (Initial Coin Offering – ICO), qui étaient partiellement appréhendées par le régime applicable aux offres de titres financiers, elles font désormais l’objet de règles spécifiques avec notamment pour objectif d’encadrer les émissions et prestataires qui échappaient au cadre de la règlementation financière9.
Confrontée à l’innovation, la sécurité juridique, dont l’une des caractéristiques essentielles est la prévisibilité – qui implique une certaine stabilité des normes10 – créé les conditions d’une insécurité juridique, le cadre règlementaire n’étant plus adapté à la situation factuelle nouvelle.
En définitive, il existe nécessairement une phase où l’innovation est en marge des règles de Droit. Pendant cette phase, la sécurité juridique est relative mais il ne faut pas s’empêcher d’innover (tout ce qui n’est pas interdit par la loi étant permis11) si l’on adopte la bonne approche pour sécuriser sa démarche.
Accepter l’insécurité juridique
Pour surmonter l’insécurité juridique inhérente à toute activité innovante, l’entrepreneur doit obligatoirement accepter, au moins temporairement, d’évoluer dans un cadre réglementaire incertain. Prenons quelques exemples pour illustrer ce propos :
– La reconnaissance du covoiturage : en 2004, BlaBlaCar lance une plateforme communautaire de covoiturage qui permet la mise en relation entre des conducteurs voyageant avec des places libres et des passagers se rendant dans la même direction. Lors du lancement de l’activité, il n’existait aucune définition juridique du covoiturage12, exposant BlaBlaCar (et ses utilisateurs) à une incertitude quant à la qualification juridique de cette activité ainsi que sa licéité ou le régime juridique qui lui serait applicable. La première définition jurisprudentielle n’intervient qu’en 2013 et il faut attendre 2015 pour qu’une loi consacre légalement le covoiturage13.
– L’application du statut de base de données protégée aux plateformes numériques : le Code de la propriété intellectuelle définit ce qu’est une base de données14 et confère à son producteur un droit sui generis15. Cependant, cette définition laissant le soin aux juges du fond d’apprécier si les conditions de la reconnaissance du statut de base de données sont remplies, les opérateurs de plateformes numériques restent exposés à un aléa quant au fait de savoir si leur plateforme constitue une base de données protégée par un droit sui generis16. Il a ainsi été jugé que le site d’annonces en ligne « leboncoin.fr » constituait une base de données au sein du Code de la propriété intellectuelle tandis que cette qualification a été refusée à une plateforme mettant en relation des parents avec des baby-sitters17.
– L’interdiction de TikTok aux États-Unis : le 6 août 2020, le président des États-Unis d’Amérique, Donald Trump, a signé un décret aux termes duquel il a déclaré que l’application de partage de vidéos TikTok, propriété de la société chinoise ByteDance Ltd., collectait des données personnelles transmises aux autorités chinoises et étaient utilisées dans des campagnes de désinformation au profit du parti communiste. En conséquence, il a interdit à toute personne relevant de la juridiction des États-Unis de procéder à toute transaction avec ByteDance Ltd. et/ou ses filiales et participations18. Sans nous prononcer sur la légalité de ce décret, nous constatons que l’absence de cadre spécifique applicable au transfert, au stockage et au traitement de données personnelles par TikTok auprès de ses utilisateurs américains l’a exposé à un « fait du prince » menaçant la continuité de ses activités aux États-Unis.
Ces situations illustrent que l’innovation technologique et numérique implique des enjeux juridiques capitaux, ce qui impose de placer la stratégie juridique au cœur de la stratégie de l’entreprise.
En effet, accepter l’insécurité juridique ne signifie pas qu’il faut faire abstraction des considérations et contraintes juridiques, au risque de faire face à des conséquences dramatiques et non anticipées (par exemple, en lançant une activité pourtant expressément interdite en vertu des règles existantes). Bien au contraire, il est indispensable de comprendre le cadre règlementaire existant, d’apprécier les contraintes juridiques qui en résultent et d’évaluer les risques qui en découlent, afin (i) de déterminer le degré de risque que l’entreprise est en mesure d’accepter (notamment, à la lumière des profits attendus de l’activité innovante) et (ii) de disposer d’options stratégiques permettant de réduire la probabilité d’occurrence des risques ou, le cas échéant, d’en limiter les conséquences (par exemple, en explorant des solutions alternatives permettant de réorienter ses activités).
Le Droit est un outil qui permet de sécuriser son modèle, de protéger ses créations et d’en assurer la pérennité. Chaque entrepreneur dans le numérique et les nouvelles technologies doit y être très attentif pour éviter l’écueil du « géant aux pieds d’argile ». Que ce soit des nouvelles formes de logiciels, des modèles basés sur les données (personnelles ou non) ou des entreprises qui révolutionnent des secteurs ou professions règlementées, la considération juridique doit être présente pour protéger le développement de l’entreprise.
Contrairement aux idées reçues, l’absence de règles est très dommageable pour les entreprises innovantes (cf. supra), qui n’ont pas pour ambition de conduire leurs activités dans un Far West juridique. Certaines entreprises innovantes ont ainsi compris qu’il était dans leur intérêt, à défaut ou dans l’attente d’un cadre légal adapté à leurs activités, de s’autoréguler en fixant ses propres limites sur la base de son interprétation juridique des règles existantes. Les fournisseurs de solutions numériques sont toujours appréhendés par le prisme de la loi pour la confiance dans l’économie numérique de 2004, issue de la directive européenne sur le commerce électronique, et il existe des débats jurisprudentiels importants sur l’étendue de leur responsabilité (soit éditeur, soit hébergeur). Ainsi, de nombreuses sociétés anticipent les futures clarifications juridiques en conduisant des analyses approfondies de leurs activités pour limiter certains fonctionnalités ou potentialités de leurs produits/services.
Pour pouvoir suivre cet exemple et adopter une lecture règlementaire logique et pertinente, les acteurs numériques et technologiques innovants doivent :
– définir avec précision leur modèle économique et comprendre les contraintes juridiques associées à leur activité, évaluer les risques qui en découlent et adopter une stratégie réglementaire dans l’optique de sécuriser leurs activités ;
– participer aux réflexions sur la création ou l’évolution des règles existantes : il est en effet primordial pour tout opérateur innovant de concevoir le Droit non pas comme une contrainte mais comme un avantage compétitif créateur de valeur, dans l’objectif de faire triompher sa vision et son interprétation ;
– former tous les membres de l’entreprise pour que chacun, dans sa fonction et à son niveau, porte un message uniforme. À défaut, l’opérateur innovant s’expose à ce que la lecture réglementaire non partagée conduise l’entreprise à commettre des erreurs (provoquant un désalignement entre réalité opérationnelle et lecture réglementaire) et empêche sa stratégie réglementaire de prospérer ;
– développer leurs activités en sachant être un interlocuteur déterminé, mais également raisonnable et raisonné, des autorités et des régulateurs.
En substance, les fondateurs et dirigeants d’entreprises technologiques doivent connaître et maîtriser leur environnement juridique afin de pouvoir avoir un impact sur celui-ci. Il faut être actif et adopter une lecture règlementaire conforme à sa stratégie opérationnelle pour sécuriser son modèle et assurer son leadership sur le marché.
1 | Selon l’édition 2019 des Indicateurs de suivi de l’activité normative publiés par le secrétariat général du gouvernement, il existait au 25 janvier 2019, 84 619 articles législatifs et 233 048 articles réglementaires. (Retour au texte 1)
2 | DE SALVIA Michele, La sécurité juridique en droit constitutionnel français, Cahier du Conseil Constitutionnel, n°11, décembre 2001. (Retour au texte 2)
3 | EL HERFI, Les principes de confiance légitime et de sécurité juridique en droit européen – Interprétation et portée en droit de l’Union européenne et en droit de la Convention européenne des droits de l’homme, Service de documentation, des études et du rapport de la Cour de cassation, Bureau du droit européen, 27 octobre 2015.(Retour au texte 3)
4 | ABLARD Thierry, Insécurité juridique : l’impuissance publique ? Cahiers de droit de l’entreprise n° 1, Janvier 2008, dossier 4. (Retour au texte 4)
5 | MOLFESSIS Nicolas, Combattre l’insécurité juridique ou la lutte du système juridique contre lui-même, Rapport d’activité du Conseil d’État, 2006, p. 391.
(Retour au texte 5)
6 | Décision d’exécution (UE) 2016/1250 du 12 juillet 2016 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis. (Retour au texte 6)
7 | Data Protection Commissioner c/ Facebook Ltd et Maximillian Schrems, CJUE, 16 juillet 2020, Aff. C-311/18. (Retour au texte 7)
8 | Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. (Retour au texte 8)
9 | Règles issues de la loi n°2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises (dite loi « Pacte »). (Retour au texte 9)
10 | VALEMBOIS Anne-Laure, La constitutionnalisation de l’exigence de sécurité juridique en droit français, Cahiers du Conseil Constitutionnel n°17 (prix de thèse 2004), mars 2005. (Retour au texte 10)
11 | Article 5 de la Déclaration des Droits de l’Homme et du Citoyen de 1789 : « La loi n’a le droit de défendre que les actions nuisibles à la société. Tout ce qui n’est pas défendu par la loi ne peut être empêché, et nul ne peut être contrainte à faire ce qu’elle n’ordonne pas ». (Retour au texte 11)
12 | Cass. Com., 12 mars 2013, Bull. 2013, IV, n°36, n°11-21.908. (Retour au texte 12)
13 | Loi n°2015-992 du 17 août 2015 relative à la transition énergétique et à la croissance verte (cette définition a été codifiée et figure à l’article L.3132-1 du Code des transports).(Retour au texte 13)
14 | Article L.112-3 du Code de la propriété intellectuelle. (Retour au texte 14)
15 | V. articles L.341-1 et suivants du Code de la propriété intellectuelle ; ce droit sui generis leur permettant notamment de faire interdire l’extraction et la réutilisation de la base de donnée. (Retour au texte 15)
16 | TGI Paris, 1 septembre 2017, n°17/06908, LBC France c/ entreparticuliers.com (Retour au texte 16)
17 | CA Paris, 21 novembre 2008, n°07/10985, Jurisdata n°2008-373507, Sté Select à domicile et autres c/ Sté Cariboo Networks. (Retour au texte 17)
18 | Executive Order on Adressing the Threat Posed by TikTok en date du 6 août 2020 (https://www.whitehouse.gov/presidential-actions/executive-order-addressing-threat-posed-tiktok/). (Retour au texte 18)