Anne Debet

Professeur
Droit privé et sciences criminelles.
Faculté de Droit d’Economie et de Gestion

Institut Droit et Santé
  • THESE

    L'influence de la Convention européenne des droits de l'homme sur le droit civil, soutenue en 2001 à Paris 2 

  • Anne Debet, L'influence de la Convention européenne des droits de l'homme sur le droit civil, Dalloz, 2002, Nouvelle bibliothèque de thèses, 998 p. 

  • Anne Debet, Nathalie Martial-Braz, « Les sources du droit de la protection des données en question », Dalloz IP/IT : droit de la propriété intellectuelle et du numérique, 2023, n°10, p. 497   

    Anne Debet, « Faut-il réviser la loi informatique et libertés ? », Dalloz IP/IT : droit de la propriété intellectuelle et du numérique, 2023, n°10, p. 505   

    Anne Debet, « Traitement de données aux fins de journalisme : état des lieux et perspectives », Légipresse : l'actualité du droit des médias, de la communication et des réseaux sociaux, 2020, n°63, p. 51   

    Anne Debet, « Droit à la connaissance des origines des enfants nés d’un don », Journal de droit de la santé et de l'assurance maladie, 2020, n°25   

    Anne Debet, Nathalie Martial-Braz, « Où sont les femmes ? », Recueil Dalloz, 2019, n°27, p. 1489   

    Anne Debet, Marie Mesnil, Anne Laude, Olivier Saumon, « La démédicalisation du changement de sexe à l’état civil : une conception renouvelée du sexe et du genre », Journal de droit de la santé et de l'assurance maladie, 2017, n°16, pp. 62-69   

    Anne Debet, « Objets connectés et santé », Journal de droit de la santé et de l'assurance maladie, 2017, n°16   

    Anne Debet, « Les nouveaux instruments de conformité », Dalloz IP/IT : droit de la propriété intellectuelle et du numérique, 2016, n°12, p. 592   

    Anne Debet, « Prudence de la CJUE sur l'exclusion française permanente des hommes homosexuels du don de sang », Recueil Dalloz, 2015, n°25, p. 1470   

    Anne Debet, « Programme Prism : les citoyens européens sur écoute », Recueil Dalloz, 2013, n°25, p. 1736   

    Anne Debet, « Informatique et libertés : faut-il aujourd'hui réviser la directive 95/46/CE relative à la protection des données personnelles ? », Recueil Dalloz, 2011, n°15, p. 1034   

    Anne Debet, « Faut-il interdire le crédit revolving ? », Recueil Dalloz, 2009, n°15, p. 1004   

    Anne Debet, « L'article L. 313-2 du code de la consommation s'applique aux contrats de prêt à finalité professionnelle », Recueil Dalloz, 2002, n°34, p. 2670   

  • Anne Debet, « Les sanctions dans le droit de la protection des données », le 20 septembre 2023  

    Colloque organisé par la Faculté de Droit, Université Paris Cité, l'IDS, le CEDAG, l'INSERM, Sorbonne University Abu Dhabi et l'ADIJ sous la direction scientifique de Anne Debet, Professeur de droit et membre de l’Institut Droit et Santé, Université Paris Cité, Inserm et Nathalie Martial-Braz, Professeure de droit privé, Université Paris Cité, CEDAG, Sorbonne University Abu Dhabi Research Institute

    Anne Debet, « L'émergence d'un droit des données », le 02 décembre 2022  

    Organisé par le CUERPI et le CRJ, Université Grenoble Alpes

    Anne Debet, « Data Governance for Artificial Intelligence Purposes », le 10 novembre 2022  

    Organisé par le CEDAG et Nathalie Martial-Braz, Sorbonne University Abu Dhabi

    Anne Debet, « Les sources du droit de la protection des données », le 13 juin 2022  

    Organisé pour l'IDS - L’Institut Droit et Santé, Inserm UMR_S 1145 et le Centre de Droit des Affaires et de Gestion, CEDAG UPR 1516, de l’Université Paris Cité par Anne Debet, Université Paris Cité, IDS, Inserm UMR_S 1145, Membre de la CNIL et Nathalie Martial-Braz, Université de Paris Cité, déléguée auprès de l’Université Sorbonne Abu Dhabi, CEDAG, membre honoraire de l’IUF

    Anne Debet, « Apports et angles morts de la révision de la loi de bioéthique en termes de droits fondamentaux », le 01 décembre 2021  

    Colloque organisé sous la direction scientifique de Marie Mesnil, maître de conférences à l'Université de Rennes 1

    Anne Debet, « L’Open data des décisions de justice », le 08 juin 2021  

    Organisée par le Master 2 Droit du Patrimoine de l'Université Paris Nanterre, sous la direction de M. Olivier Deshayes, Professeur à l'Université Paris Nanterre et Directeur adjoint du CEDCACE

    Anne Debet, « L’intelligence artificielle : quelle intelligence juridique ? », le 15 avril 2021  

    Organisé à la Cour de cassation par l’Institut de recherche pour un droit attractif de l’Université Sorbonne Paris Nord (IRDA), le CEDCACE, l’Université Paris Nanterre sous la responsabilité scientifique de S. Amrani-Mekki, B. Haftel et M. Mekki

    Anne Debet, « L’affaire du mediator », le 02 octobre 2020  

    Organisé par le Lab-Lex (UR 7480) sous la direction scientifique de Anne Danis-Fatôme, Pr. de droit privé à l’UBO et François-Xavier Roux-Demare, Doyen de la Faculté de droit, économie, gestion et AES, MCF en droit privé à l’UBO.

    Anne Debet, « Le droit européen de la protection des données à caractère personnel à la recherche d'une cohérence », le 20 janvier 2020  

    Organisé par le CEDAG, l'Institut Droit et Santé (IDS), et l'Association pour le développement de l'informatique juridique (ADIJ), sous la direction scientifique du Pr Nathalie Martial-Braz et du Pr Anne Debet

    Anne Debet, « La Loi de bioéthique », le 06 novembre 2019  

    Organisé pour l’IDS, par Marie Mesnil, MCF en droit privé à l’Université de Rennes 1 et Ana Zelcevic-Duhamel, MCF HDR en droit privé à la Faculté de droit, d'économie et de gestion de l'Université Paris Descartes

    Anne Debet, « Les enjeux juridiques de la digitalisation pour les banques », le 21 février 2019 

    Anne Debet, « Quelle régulation pour l’intelligence artificielle ? », le 28 novembre 2018  

    Projet interdisciplinaire de recherche de Septembre 2018 à Juin 2019

    Anne Debet, « Entrée en vigueur du Règlement Général sur la protection des données : quels changements pour les responsables de traitement », le 12 avril 2018  

    Organisé par le CEDAG, l'Institut Droit & Santé de l'Université Paris Descartes, l'Inserm (UMR S 1145), avec la revue Communication commerce électronique des éditions LexisNexis et l'Association pour le Développement de l'Informatique Juridique (ADIJ)

    Anne Debet, « Vaccinations et droit », le 27 mars 2018  

    Organisé par l’Institut Droit et Santé (IDS)

    Anne Debet, « La sécurité des objets connectés », le 15 juin 2017  

    Organisé par l'IDS

    Anne Debet, « Les dossiers médicaux d’aujourd’hui et de demain », le 06 décembre 2016  

    Présenté par Anne Debet, Professeur à l’Université Paris Descartes et membre de l’Institut Droit et Santé et Lydia Morlet-Haïdara, Maître de conférences à l’Université Paris Descartes et membre de l’Institut Droit et Santé

    Anne Debet, « Le droit de la santé d'une décennie à l'autre (2006-2026) », le 19 octobre 2016 

    Anne Debet, « La jurisprudence dans le mouvement de l’open data », le 14 octobre 2016  

    Colloque organisé par la Cour de cassation, en partenariat avec l'Association pour le Développement de l’Informatique Juridique

PublicationsENCADREMENT DOCTORAL
  • Cyril Aufrechter, Le choix de la base légale des traitements de données personnelles : étude pratique, thèse soutenue en 2022 à Université Paris Cité en co-direction avec Anne Debet  

    A la suite de l'adoption du Règlement Général sur la Protection des données, l'Union européenne a renforcé sa règlementation relative à la protection des données personnelles. Celle-ci repose notamment dans les sanctions significatives pouvant être infligées, ce qui a fait que beaucoup de responsables de traitements ont pris conscience des enjeux. La mise en conformité avec cette nouvelle règlementation est donc devenue indispensable. Cette mise en conformité passe d'abord par le choix d'une base légale permettant de justifier le traitement. Pour certains, cette base légale a pour but de s'assurer que la personne concernée est protégée de manière optimale, d'où une volonté de favoriser la base légale du consentement par défaut. En réalité, les bases légales ne protègent pas réellement les personnes concernées, et permettent plutôt de justifier les traitements de données personnelles tout en ayant une influence sur les droits des personnes concernées. Il ne s'agit pas toujours d'une protection des personnes concernées, et parfois elles ne protègent aucune partie au traitement. La base légale doit être bien choisie, car non seulement il n'est pas possible de recourir à plusieurs d'entre elles pour le même traitement, mais il est compliqué de changer durant un traitement, ou de changer de finalité. De plus, les conséquences en cas de choix erroné peuvent être très impactantes, tant en terme financier que réputationnel. Dans le secteur privé, un des choix à envisager est le consentement, qui fait l'objet de nombreuses règles et peut être manipulé. Ce consentement n'est pas aussi protecteur du responsable de traitement que certains peuvent le penser, car il fait l'objet de contraintes importantes, étant donné qu'il doit notamment être libre, spécifique, et éclairé. Ces exigences sont lourdes à respecter. Dès lors, ne pas y recourir lorsque cela est possible est intéressant. Au surplus, les exigences autour du consentement ne sont en réalité pas si avantageuses pour les personnes concernées. Ce consentement peut en effet très rapidement être influencé, y compris de manière licite. De plus, il est généralement moins informé qu'il ne le parait, dans la mesure où il suppose que les personnes concernées prennent le temps de lire les mentions d'information ce qu'elles ne font pratiquement jamais. Cette protection de la personne concernée n'est donc qu'une protection en demi-teinte. Le choix de la base légale n'est pas sans conséquence. Dans un cas, les personnes concernées seront bien informées, et pourront utiliser leurs droits de façon appropriée. Dans l'autre, non seulement ce ne sera pas le cas, mais le responsable risque également une sanction administrative, des poursuites, et encoure un risque réputationnel. Il y a donc un équilibre entre les intérêts des parties au traitement, pour qui la conformité apporte un bénéfice. Afin de limiter les risques, il faut donc faire une analyse opérationnelle et concrète de la situation. Cette étude permet de constater que l'intérêt légitime est souvent efficace en présence de personnes en situation de faiblesse, ainsi que dans le cadre des données à caractère hautement personnelles. Ce choix doit également être étudié lors de traitements complexes, comme la monétisation de données personnelles, ou la prospection commerciale. Il en est de même dans le cadre de traitements effectués par le biais de technologies issues de l'économie numérique, comme la blockchain ou l'intelligence artificielle. Dans tous les cas, le choix de la base légale doit se faire en fonction de la situation en question, après une analyse casuistique.

    Adèle Lutun, Le big data en santé : richesse et conditions d'accès, thèse soutenue en 2021 à Université Paris Cité en co-direction avec Anne Debet    

    À travers l'étude du droit relatif à la protection des données à caractère personnel, l'objectif de cette thèse est d'étudier les conséquences de l'application du droit de la protection des données à caractère personnel au big data en santé. En effet, les mégadonnées de santé sont des regroupements de traitement de données de santé à caractère personnel et les projets qui les réutilisent, notamment à des fins de recherche, sont également des traitements de données de santé à caractère personnel. L'étude des efforts de structuration du patrimoine des données en santé est nécessaire. La France centralise un grand nombre de données issues des activités de soins prises en charge par la Sécurité sociale : les données des soins de ville sont regroupées au sein du Système national d'information interrégimes de l'Assurance maladie (SNIIRAM) tandis que celles relatives aux soins hospitaliers sont disponibles dans le Programme de médicalisation des systèmes d'information (PMSI). En raison de leur contenu structuré, ces deux bases de données sont les pièces maîtresses du Système national des données de santé (SNDS) créé en 2016. Le SNDS est une mégabase de données diverses dont le périmètre couvre depuis son élargissement en 2019 la quasi-totalité des données produites par les acteurs intervenant dans les activités prises en charge par la Sécurité sociale, mise en œuvre par la Caisse nationale d'assurance maladie et la Plateforme des données de santé. Le SNDS, s'il centralise un grand nombre de données n'est cependant pas exhaustif, notamment en raison de la fragmentation du patrimoine des données de santé en France. En effet, les données cliniques ne sont pas remontées systématiquement au sein d'une structure unique, rendant l'alimentation du SNDS délicate. Toutefois, des initiatives locales, par la constitution d'entrepôts de données de santé, ou nationales, par des projets couvrant certains aspects du parcours de soin des usagers du système de santé, visent à structurer les données. Après l'étude de ce panorama du patrimoine des données de santé en France, il convient d'analyser les conditions d'accès à cette richesse. En effet, le big data a un intérêt, lorsqu'il est possible d'obtenir communication des données, notamment afin de les réutiliser pour réaliser des recherches qui visent à améliorer le système de santé. Toutefois, en raison de la sensibilité des données de santé et en application des règles générales relatives aux traitements de données à caractère personnel, l'accès aux données massive est restreint. La conciliation de ces exigences avec la nécessité de réutiliser les données engendre de lourdes procédures qui doivent être accomplies à la fois par les structures qui mettent en œuvre des traitements qui alimentent le big data et par celles qui souhaitent réutiliser les données issues de tels traitements. Les acteurs du domaine ont conscience de ces difficultés. Afin d'y remédier, des tentatives d'amélioration de l'accès aux données et d'accompagnement des producteurs et utilisateurs des données voient le jour. Si dans l'ensemble, l'application du droit de la protection des données à caractère personnel est favorable au développement du big data en santé et à sa réutilisation, il est traduit en pratique par des lourdes procédures administratives contraignantes et ne semble pas garantir la transparence de ces traitements vis-à-vis de ceux qui sont à la source des données tant convoitées : les usagers du système de santé.

    Nour Le Du, Le consentement à l'acte médical des personnes vulnérables, thèse soutenue en 2018 à Paris Est sous la direction de Anne Debet    

    Le régime applicable au consentement à l’acte médical des personnes vulnérables que sont les mineurs et les majeurs sous protection juridique est un sujet délicat pour le législateur. Ce dernier doit instaurer une législation conciliant protection de l’intégrité physique du patient, et respect de son autonomie. Le droit positif échoue à trouver cet équilibre. Les mineurs sont privés de leur capacité d’exercice à toutes les étapes de leur vie, quel que soit leur âge ou leur degré de maturité. Elle réserve également un traitement disparate aux majeurs protégés. Leur autonomie variant selon la prise en compte ou non de leur régime de protection par le Code de la santé publique. À ces difficultés s’ajoute celle de l’existence de nombreux actes spécifiquement réglementés dont les règles ne sont pas toujours cohérentes ni compatibles avec les réalités de la pratique médicale. Une réflexion est menée sur les limites du régime actuel ainsi que sur l’élaboration d’une nouvelle législation plus respectueuse de l’autonomie des mineurs et des majeurs protégés. La possibilité de consentir à un acte médical dépendra non pas du statut juridique du patient, mais de son « aptitude à consentir », notion tirée des législations suisse et québécoise. Toutefois, la volonté de protéger l’autonomie du patient ne devant pas conduire à une mise en péril de son intégrité physique, un encadrement de sa capacité d’exercice sera instauré selon que le soin est ou non requis par son état de santé.

  • Laura Chevreau, Droits fondamentaux et recherches scientifiques portant sur la personne humaine, thèse soutenue en 2023 à Université Paris Cité co-présidée avec Anne Debet  

    Afin de protéger la personne humaine qui est impliquée dans une recherche scientifique, un cadre juridique doit permettre d'établir le champ d'application de la recherche sur la personne et déterminer dans quelles circonstances il est possible de porter atteinte à son intégrité. Ce cadre s'est élaboré par l'intermédiaire de nombreuses réglementations au niveau international, européen et national, pénétrant progressivement au sein du « laboratoire » du chercheur. Il est la résultante d'une évolution de la pratique expérimentale et de scandales historiques ayant rendu indispensable l'encadrement de la recherche scientifique portant sur la personne humaine. C'est pourquoi il est intrinsèquement lié aux droits fondamentaux de la personne humaine. L'analyse de sa construction permet de mettre en évidence une articulation spécifique entre les droits fondamentaux. La réglementation relative à la recherche scientifique portant sur la personne humaine s'est en effet construite autour de l'impérieuse nécessité de protéger la dignité de la personne humaine. Cela se manifeste à travers une hiérarchie matérielle entre les droits fondamentaux, laquelle est dominée par la dignité de la personne humaine et consolidée par un ensemble de droits subjectifs de la personne (droit à l'information, au consentement et à la protection des données à caractère personnel), qui vient contraindre la liberté de la recherche scientifique. Néanmoins, les progrès techniques et scientifiques de la fin des années 1990, ainsi que la mondialisation progressive de l'activité de recherche, ont progressivement affecté cette hiérarchie matérielle. En effet, l'évolution de la réglementation relative aux recherches scientifiques portant sur la personne humaine traduit l'ambition du législateur de renforcer l'attractivité et la compétitivité de la recherche, préjudiciable à l'effectivité pleine et entière des droits fondamentaux du participant. La recherche scientifique étant mise en oeuvre dans un intérêt collectif divergent de l'intérêt personnel du participant, il en résulte un conflit qui a mené jusqu'alors à l'affaiblissement de l'effectivité des droits des personnes dans les recherches. Bien que la personne est toujours protégée contre le risque de son instrumentalisation à des fins scientifiques, il convient de continuer à se prémunir contre ce risque et de s'interroger sur l'opportunité de rechercher un nouvel équilibre pour renforcer la hiérarchie matérielle entre les droits fondamentaux, tout en ne créant pas des conditions démesurément défavorables à la recherche scientifique.

  • Liane Huttner, La décision de l'algorithme : étude de droit privé sur les relations entre l'humain et la machine, thèse soutenue en 2022 à Paris 1, membres du jury : Anne Debet (Rapp.)  

    Depuis 1978, le droit encadre les algorithmes décisionnels, c’est-à-dire les algorithmes aidant ou remplaçant la décision humaine. Pourtant, le développement effréné de ces outils et leur diffusion dans tous les domaines questionnent la pertinence de ces règles ; En particulier, il apparaît que l’encadrement des algorithmes décisionnels s’oriente aujourd’hui vers la protection du destinataire de la décision, soit la personne soumise à la décision prise sur le fondement de l'algorithme. Ce faisant, une part essentielle des enjeux sont oubliés : la protection de l’auteur de la décision et du caractère humain de la décision. La réintégration à sa juste valeur de la protection de l’auteur de la décision, sans oublier celle du destinataire, permet alors de donner toute sa force au droit des algorithmes. Ainsi, les deux catégories classiques d’algorithmes de prise de décision et d’algorithmes d’aide à la décision peuvent être réinterprétées. De la même manière, les règles de conception et d’utilisation des algorithmes décisionnels peuvent également être lues sous la double fonction de la protection de l’auteur et du destinataire de la décision. Dans le premier cas, c’est la faculté même de décider qui est protégée. L’interdiction des algorithmes de prise de décision dans certains domaines ou l’encadrement strict de la légalité de ces outils en sont deux illustrations. Dans le second cas, c’est le droit de ne pas être soumis à une décision prise par une machine qui doit être mis en avant. On retrouve alors de nombreux mécanismes issus du droit du pouvoir tels que la faculté de demander le réexamen de la décision ou l'obligation de motivation.

    Géraldine Criqui-Barthalais, La protection des libertés individuelles sur le réseau internet, thèse soutenue en 2018 à Paris 2, membres du jury : Anne Debet (Rapp.)  

    Cette étude envisage le réseau internet comme un nouvel espace invitant à réinterpréter les libertés de la personne physique. Au titre de celles-ci, sont protégées la liberté individuelle, entendue comme le fait de ne pouvoir être arbitrairement détenu et la liberté d’aller et venir. Il doit en aller de même sur le réseau. Etablissant une analogie avec ces libertés, la première partie de la thèse consacre deux libertés : la liberté d’accès au réseau et la liberté de naviguer sur le web. La première implique de définir le contenu d’un service public de l’accès. De plus, il faut affirmer que la coupure d’accès au réseau doit être envisagée comme une mesure privative de liberté ; elle ne peut donc être décidée que par le juge judiciaire. L’affirmation de la liberté de naviguer sur le web conduit à envisager le régime du blocage des sites, une mesure qui ne peut intervenir que dans le cadre d’une police administrative spéciale. Dans la seconde partie il apparaît que ces deux libertés n’ont toutefois de sens que si l’individu a accès au réseau anonymement et n’est pas surveillé arbitrairement quand il navigue sur le web. Cette étude cherche ainsi à préciser le régime devant encadrer le mécanisme d’adressage du réseau. Sont définies les conditions du contrôle de l’identité de l’internaute à partir de son adresse IP. Enfin, il est soutenu qu’un principe général d’effacement des données révélant les sites visités doit être affirmé, principe qui s’applique aux différents acteurs du réseau, notamment les moteurs de recherche. L’interception de ces données ne peut procéder que d’un pouvoir sécuritaire ou hiérarchique sur l’internaute.

  • Erwann Picart-Cartron, Le contrôle de la personne sur ses données personnelles : analyse d'une dualité, thèse soutenue en 2023 à Université de Rennes 2023, membres du jury : Anne Debet (Exam.)  

    Le contrôle de la personne est au cœur du régime de la protection des données personnelles, car il concentre les préoccupations sociétales en raison des conséquences des usages des données sur la conduite de la vie des personnes. Cela explique que l’individu dispose de différentes prérogatives pour maîtriser le devenir de ses informations. Malgré cela, la réalité du contrôle de la personne est remise en cause, notamment en raison de la dualité inhérente au régime de la protection des données. Ce dernier a en effet pour double finalité d’assurer la protection des personnes sans contrarier la libre circulation des données. Dès lors, le contrôle de la personne est marqué par cette dualité. Afin que cette dernière n’en vide pas le sens, il est possible de réorganiser les fondements de manière à proposer une nouvelle lecture des fonctions du contrôle.Dans un premier temps, les sources primitives du contrôle peuvent être situées à la fois dans la liberté individuelle ainsi que dans son expression civiliste des droits de la personnalité. Ces derniers n’empêchent pas leur circulation. Ils conjuguent la patrimonialisation des données avec le marché qui s’organise autour d’elles. C’est donc par l’intermédiaire du contrat comme fondement dérivé du contrôle de la personne que cette conciliation des intérêts divergents est possible. Ainsi, dans un second temps, les fonctions du contrôle peuvent être relues à l’aune de ces fondements. D’une part, le contrôle de la personne a une fonction prophylactique en raison de la place de l’information et, car aucun droit individuel ne permet une réelle maîtrise des données. Il revêt alors, d’autre part, une fonction sanctionnatrice en ce qu’il participe de la régulation des traitements qui peut aboutir à une sanction dont la personne ne sera que rarement bénéficiaire.