Contrat post-doctoral d’un an – Régulation européenne du numérique

Intitulé du poste : : Post-doctorant en droit européen de la régulation du numérique
Type de contrat : Contrat à durée déterminée (12 mois)
Catégorie hiérarchique FP: A
Durée du contrat/projet : 12 mois Date prévisible d’embauche : Décembre 2024
Quotité de travail : Temps plein
Composante, Direction, Service : Faculté de droit, Centre de droit privé fondamental
Niveau d’étude souhaité : Doctorat en droit, avec spécialisation en droit européen du numérique ou en droit de la régulation
Niveau d’expérience souhaité : Aucune exigence particulière, en dehors du doctorat
Contact(s) pour renseignements sur le poste (identité, qualité, adresse mail, téléphone) : vous devez indiquer vos coordonnées
Date limite de réception des candidatures : 05/12/24. Si vous soutenez une thèse au cours du mois de décembre, vous pouvez candidater en précisant votre situation.

Projet ou opération de recherche

Ce projet explore la régulation du droit européen du numérique, en mettant l’accent sur la conformité (compliance) et la responsabilisation (accountability) des grandes entreprises numériques. Il vise à analyser les limites des approches actuelles de régulation, souvent trop sectorielles et lentes face à la rapidité d’évolution des pratiques numériques. Parmi les pistes envisagées, le projet propose d’examiner la possibilité d’un contrôle ex ante des instruments contractuels (tels que les conditions générales d’utilisation et les politiques de confidentialité), avant leur entrée en vigueur. Ce contrôle, réalisé conjointement par plusieurs autorités administratives, permettrait potentiellement une meilleure évaluation des impacts des nouvelles pratiques sur des aspects variés, tels que la liberté d’expression, la concurrence, ou la protection des données personnelles. Le projet cherchera à éclairer la pertinence de cette approche pour une régulation plus trans-sectorielle et préventive. Le texte intégral du projet est consultable ci-dessous.

Activités

Description des activités de recherche : Le post-doctorant sera chargé d’assister le directeur de recherches dans l’analyse des propositions doctrinales déjà formulées dans l’Union européenne en matière de régulation numérique et de conformité des instruments contractuels (tels que les CGU). Il devra également conduire des entretiens avec des professionnels du droit et des membres d’autorités de régulation, afin de recueillir des perspectives pratiques et d’évaluer la faisabilité des pistes de recherche envisagées. Dans la dernière phase du projet, il contribuera à l’élaboration de propositions d’évolution du droit, fondées sur les résultats des recherches.

Compétences

Qualifications / Connaissances : Le candidat devra avoir une spécialisation en droit européen du numérique ou en droit de la régulation. Une expérience et des connaissances solides sont exigées dans l’un de ces deux domaines, assorties d’une connaissance correcte de l’autre. La maîtrise de l’anglais est requise, et la maîtrise d’une autre langue européenne constituera un atout.

Compétences opérationnelles /savoir-faire :

Le candidat devra être capable de réaliser des analyses juridiques complexes, de synthétiser efficacement des informations et de rédiger des rapports de recherche. Une expérience dans la conduite d’entretiens serait un atout.

Savoir-être : Le candidat devra faire preuve d’autonomie et de rigueur dans son travail.

Environnement et contexte de travail

Présentation de la composante / unité de recherche :
Le Centre de Droit Privé Fondamental accompagne depuis longtemps les projets de recherche sur un large spectre d’investigations : droit des personnes et droit de la famille, droit des biens et des obligations, procédures, droit pénal, droit international privé, dimension historique du droit, dimension philosophique du droit. Il s’ouvre désormais sur le droit du numérique.

Relation hiérarchique :

Le post-doctorant travaillera sous la supervision directe du professeur Emmanuel Netter.

Pour postuler, veuillez adresser CV, lettre de motivation le(s) diplôme(s) à l’attention de : postdoc@email.enetter.fr

Texte intégral du projet

Contexte. Le droit européen du numérique s’est caractérisé, ces dernières années, par un basculement très net vers une logique de « conformité » (le terme anglais de « compliance » étant plus souvent utilisé) et de « responsabilisation » (ou « accountability »). On peut expliquer ce mouvement et ses enjeux comme suit. Dans une approche traditionnelle du droit, le législateur pose un ensemble de règles claires. Les destinataires des règles doivent les respecter. S’ils ne le font pas, un juge est chargé de constater et de punir les manquements. Ce modèle est aujourd’hui largement considéré comme dépassé dans plusieurs domaines du droit : protection de l’environnement, lutte contre le blanchiment et le financement du terrorisme en matière bancaire, mais aussi droit du numérique.

Ces matières se caractérisent à la fois par leur grande technicité, et par l’évolution très rapide des problèmes de terrain. Plutôt que d’agir directement en posant a priori des règles très précises, qui risquent d’être inadaptées, ou rapidement obsolètes, les pouvoirs publics fixent un ensemble de grands principes, puis créent une autorité administrative indépendante : Commission Nationale de l’Informatique et des Libertés (CNIL), Autorité de Régulation de la Communication Audiovisuelle et Numérique (ARCOM), Autorité de Régulation des Communications Electroniques, des Postes et de la distribution de la presse (ARCEP)… Ces autorités seront chargées d’une double mission. La première est pédagogique : elles conseillent le secteur supervisé, diffusent des « lignes directrices », mettent en place des guides, des livres blancs : tout un appareil de communication collective, accompagné au besoin de réponses à des cas individuels. La deuxième mission, néanmoins, est répressive : les autorités doivent punir, à l’aide d’amendes administratives, les destinataires de la règle (entreprises, mais aussi le cas échéant administrations), qui sont en faute.

Quant aux destinataires de la règle, comment peuvent-ils précisément échapper à tout reproche, et donc à toute sanction ? On ne leur demande plus d’adopter des comportements dont la teneur leur serait précisément fournie par les pouvoirs publics. Il s’agit de poursuivre de « grands objectifs » : assurer la « sécurité des traitements » de données à caractère personnel (Règlement général sur la protection des données ou RGPD), mettre en place des infrastructures « résilientes » aux cyberattaques (directive NIS 2), des processus de modération « juste et équilibrés » sur les réseaux sociaux (Règlement Digital Services Act)… Pour parvenir à ces objectifs, les destinataires de la règle doivent procéder à leur auto-diagnostic. Ils sont ainsi supposés identifier les risques que leur activité engendre pour eux-mêmes, leurs clients, leurs partenaires ou la société. Il s’agira de mettre en place des « analyses d’impact », des « audits », des « évaluations de risques systémiques ». Une fois ces dangers identifiés, il faudra mettre en place des procédures, des processus, des bonnes pratiques. L’expression récurrente en législation exige ainsi la mise en place « de mesures techniques et organisationnelles appropriées ».

Cette nouvelle approche par les pouvoirs publics est couramment qualifiée de « régulation » plutôt que de législation. Ce droit de la « régulation » et ces approches par la « conformité », on l’aura compris, sont séduisants par bien des aspects : ils promettent agilité, souplesse, réactivité. Là où le juge étatique est supposé lent et mal formé aux problématiques émergentes, les autorités administratives sont spécialisées, pédagogiques, et ont la capacité de mener avec les destinataires de la règle un véritable dialogue collectif.

Problématique. Ces nouvelles approches ont cependant aussi leurs défauts. Premièrement, elles génèrent une approche extrêmement sectorielle, segmentée, de la puissance des grandes entreprises du numérique. Chaque texte est un prisme particulier : droit des données, IA, liberté d’expression, cybersécurité… Il manque une vision d’ensemble. Deuxièmement, l’approche a beau être plus rapide que celle par le juge étatique – en raison du « dialogue » en amont entre les autorités et le secteur régulé – elle reste encore trop lente. En effet, les grandes sociétés du numérique exercent leur pouvoir sur les produits, les marchés et les consommateurs à l’aide de leurs instruments contractuels : conditions générales d’utilisation (CGU) et politiques de confidentialité. Ces documents contractuels produisent leurs effets dès qu’ils entrent en vigueur. Une illégalité, même grossière, mettra souvent des années avant de provoquer un contrôle, puis un contentieux, lui-même susceptible de multiples recours. À titre d’exemple, la société Méta (Instagram, Facebook, WhatsApp) a utilisé durant des années un modèle d’affaires fondé sur la publicité ciblée qui apparaît désormais comme radicalement incompatible avec le RGPD, mais il aura fallu plus de cinq ans d’efforts pour le mettre en évidence. De même, ChatGPT a été lancé sur le marché européen par OpenAI de façon délibérément brutale (sans même prendre la peine de rédiger la moindre politique de confidentialité !), mais lorsque les premières réactions ont commencé, le produit était installé sur le marché.

Pistes de recherche. Lorsque sont en cause des sociétés très puissantes ou des produits à fort impact social, il est envisageable d’instaurer une autre logique : celle d’un contrôle des instruments contractuels avant leur entrée en vigueur. De plus, ce contrôle des CGU et politiques de confidentialité pourrait associer les expertises de plusieurs autorités administratives. Cela permettrait notamment de mesurer conjointement les effets des nouveaux produits, services et conditions contractuelles : sur la liberté d’expression et le droit à l’information de l’ensemble des utilisateurs ; sur la liberté d’entreprendre des utilisateurs professionnels ; sur le droit de la concurrence ; sur le droit à la vie privée et au respect des données personnelles ; sur le droit de la consommation. Ce mouvement a été légèrement entamé, l’Autorité de la Concurrence et la CNIL venant par exemple d’annoncer un partenariat pour envisager ensemble des questions qui interagissent à l’évidence (certaines pratiques en droit des données personnelles ayant un effet anti-concurrentiel). Par ailleurs, les autorités administratives pourraient faire appel à la figure du juge étatique, dont la formation, l’expertise, le statut, la légitimité sont d’une autre nature. Il devrait rester, par exemple, le recours naturel pour interpréter un contrat obscur, ou juger d’un équilibre économique. A titre d’exemple, c’est actuellement la CNIL qui apprécie l’équilibre du choix entre « accepter les cookies » placés dans le navigateur par Facebook et payer un abonnement mensuel de 9,99 euros. Cette appréciation pourrait profiter de l’expertise du juge judiciaire en matière d’évaluation économique.