Colloque organisé par la Faculté de Droit, Université Paris Cité, l'IDS, le CEDAG, l'INSERM, Sorbonne University Abu Dhabi et l'ADIJ sous la direction scientifique de Anne Debet, Professeur de droit et membre de l’Institut Droit et Santé, Université Paris Cité, Inserm et Nathalie Martial-Braz, Professeure de droit privé, Université Paris Cité, CEDAG, Sorbonne University Abu Dhabi Research Institute

Organisé par le CUERPI et le CRJ, Université Grenoble Alpes

Organisé par le CEDAG et Nathalie Martial-Braz, Sorbonne University Abu Dhabi

Organisé pour l'IDS - L’Institut Droit et Santé, Inserm UMR_S 1145 et le Centre de Droit des Affaires et de Gestion, CEDAG UPR 1516, de l’Université Paris Cité par Anne Debet, Université Paris Cité, IDS, Inserm UMR_S 1145, Membre de la CNIL et Nathalie Martial-Braz, Université de Paris Cité, déléguée auprès de l’Université Sorbonne Abu Dhabi, CEDAG, membre honoraire de l’IUF

Colloque organisé sous la direction scientifique de Marie Mesnil, maître de conférences à l'Université de Rennes 1

Organisée par le Master 2 Droit du Patrimoine de l'Université Paris Nanterre, sous la direction de M. Olivier Deshayes, Professeur à l'Université Paris Nanterre et Directeur adjoint du CEDCACE

Organisé à la Cour de cassation par l’Institut de recherche pour un droit attractif de l’Université Sorbonne Paris Nord (IRDA), le CEDCACE, l’Université Paris Nanterre sous la responsabilité scientifique de S. Amrani-Mekki, B. Haftel et M. Mekki

Organisé par le Lab-Lex (UR 7480) sous la direction scientifique de Anne Danis-Fatôme, Pr. de droit privé à l’UBO et François-Xavier Roux-Demare, Doyen de la Faculté de droit, économie, gestion et AES, MCF en droit privé à l’UBO.

Organisé par le CEDAG, l'Institut Droit et Santé (IDS), et l'Association pour le développement de l'informatique juridique (ADIJ), sous la direction scientifique du Pr Nathalie Martial-Braz et du Pr Anne Debet

Organisé pour l’IDS, par Marie Mesnil, MCF en droit privé à l’Université de Rennes 1 et Ana Zelcevic-Duhamel, MCF HDR en droit privé à la Faculté de droit, d'économie et de gestion de l'Université Paris Descartes

Projet interdisciplinaire de recherche de Septembre 2018 à Juin 2019

Organisé par le CEDAG, l'Institut Droit & Santé de l'Université Paris Descartes, l'Inserm (UMR S 1145), avec la revue Communication commerce électronique des éditions LexisNexis et l'Association pour le Développement de l'Informatique Juridique (ADIJ)

Organisé par l’Institut Droit et Santé (IDS)

Organisé par l'IDS

Présenté par Anne Debet, Professeur à l’Université Paris Descartes et membre de l’Institut Droit et Santé et Lydia Morlet-Haïdara, Maître de conférences à l’Université Paris Descartes et membre de l’Institut Droit et Santé

Colloque organisé par la Cour de cassation, en partenariat avec l'Association pour le Développement de l’Informatique Juridique

A la suite de l'adoption du Règlement Général sur la Protection des données, l'Union européenne a renforcé sa règlementation relative à la protection des données personnelles. Celle-ci repose notamment dans les sanctions significatives pouvant être infligées, ce qui a fait que beaucoup de responsables de traitements ont pris conscience des enjeux. La mise en conformité avec cette nouvelle règlementation est donc devenue indispensable. Cette mise en conformité passe d'abord par le choix d'une base légale permettant de justifier le traitement. Pour certains, cette base légale a pour but de s'assurer que la personne concernée est protégée de manière optimale, d'où une volonté de favoriser la base légale du consentement par défaut. En réalité, les bases légales ne protègent pas réellement les personnes concernées, et permettent plutôt de justifier les traitements de données personnelles tout en ayant une influence sur les droits des personnes concernées. Il ne s'agit pas toujours d'une protection des personnes concernées, et parfois elles ne protègent aucune partie au traitement. La base légale doit être bien choisie, car non seulement il n'est pas possible de recourir à plusieurs d'entre elles pour le même traitement, mais il est compliqué de changer durant un traitement, ou de changer de finalité. De plus, les conséquences en cas de choix erroné peuvent être très impactantes, tant en terme financier que réputationnel. Dans le secteur privé, un des choix à envisager est le consentement, qui fait l'objet de nombreuses règles et peut être manipulé. Ce consentement n'est pas aussi protecteur du responsable de traitement que certains peuvent le penser, car il fait l'objet de contraintes importantes, étant donné qu'il doit notamment être libre, spécifique, et éclairé. Ces exigences sont lourdes à respecter. Dès lors, ne pas y recourir lorsque cela est possible est intéressant. Au surplus, les exigences autour du consentement ne sont en réalité pas si avantageuses pour les personnes concernées. Ce consentement peut en effet très rapidement être influencé, y compris de manière licite. De plus, il est généralement moins informé qu'il ne le parait, dans la mesure où il suppose que les personnes concernées prennent le temps de lire les mentions d'information ce qu'elles ne font pratiquement jamais. Cette protection de la personne concernée n'est donc qu'une protection en demi-teinte. Le choix de la base légale n'est pas sans conséquence. Dans un cas, les personnes concernées seront bien informées, et pourront utiliser leurs droits de façon appropriée. Dans l'autre, non seulement ce ne sera pas le cas, mais le responsable risque également une sanction administrative, des poursuites, et encoure un risque réputationnel. Il y a donc un équilibre entre les intérêts des parties au traitement, pour qui la conformité apporte un bénéfice. Afin de limiter les risques, il faut donc faire une analyse opérationnelle et concrète de la situation. Cette étude permet de constater que l'intérêt légitime est souvent efficace en présence de personnes en situation de faiblesse, ainsi que dans le cadre des données à caractère hautement personnelles. Ce choix doit également être étudié lors de traitements complexes, comme la monétisation de données personnelles, ou la prospection commerciale. Il en est de même dans le cadre de traitements effectués par le biais de technologies issues de l'économie numérique, comme la blockchain ou l'intelligence artificielle. Dans tous les cas, le choix de la base légale doit se faire en fonction de la situation en question, après une analyse casuistique.

À travers l'étude du droit relatif à la protection des données à caractère personnel, l'objectif de cette thèse est d'étudier les conséquences de l'application du droit de la protection des données à caractère personnel au big data en santé. En effet, les mégadonnées de santé sont des regroupements de traitement de données de santé à caractère personnel et les projets qui les réutilisent, notamment à des fins de recherche, sont également des traitements de données de santé à caractère personnel. L'étude des efforts de structuration du patrimoine des données en santé est nécessaire. La France centralise un grand nombre de données issues des activités de soins prises en charge par la Sécurité sociale : les données des soins de ville sont regroupées au sein du Système national d'information interrégimes de l'Assurance maladie (SNIIRAM) tandis que celles relatives aux soins hospitaliers sont disponibles dans le Programme de médicalisation des systèmes d'information (PMSI). En raison de leur contenu structuré, ces deux bases de données sont les pièces maîtresses du Système national des données de santé (SNDS) créé en 2016. Le SNDS est une mégabase de données diverses dont le périmètre couvre depuis son élargissement en 2019 la quasi-totalité des données produites par les acteurs intervenant dans les activités prises en charge par la Sécurité sociale, mise en œuvre par la Caisse nationale d'assurance maladie et la Plateforme des données de santé. Le SNDS, s'il centralise un grand nombre de données n'est cependant pas exhaustif, notamment en raison de la fragmentation du patrimoine des données de santé en France. En effet, les données cliniques ne sont pas remontées systématiquement au sein d'une structure unique, rendant l'alimentation du SNDS délicate. Toutefois, des initiatives locales, par la constitution d'entrepôts de données de santé, ou nationales, par des projets couvrant certains aspects du parcours de soin des usagers du système de santé, visent à structurer les données. Après l'étude de ce panorama du patrimoine des données de santé en France, il convient d'analyser les conditions d'accès à cette richesse. En effet, le big data a un intérêt, lorsqu'il est possible d'obtenir communication des données, notamment afin de les réutiliser pour réaliser des recherches qui visent à améliorer le système de santé. Toutefois, en raison de la sensibilité des données de santé et en application des règles générales relatives aux traitements de données à caractère personnel, l'accès aux données massive est restreint. La conciliation de ces exigences avec la nécessité de réutiliser les données engendre de lourdes procédures qui doivent être accomplies à la fois par les structures qui mettent en œuvre des traitements qui alimentent le big data et par celles qui souhaitent réutiliser les données issues de tels traitements. Les acteurs du domaine ont conscience de ces difficultés. Afin d'y remédier, des tentatives d'amélioration de l'accès aux données et d'accompagnement des producteurs et utilisateurs des données voient le jour. Si dans l'ensemble, l'application du droit de la protection des données à caractère personnel est favorable au développement du big data en santé et à sa réutilisation, il est traduit en pratique par des lourdes procédures administratives contraignantes et ne semble pas garantir la transparence de ces traitements vis-à-vis de ceux qui sont à la source des données tant convoitées : les usagers du système de santé.

Le régime applicable au consentement à l’acte médical des personnes vulnérables que sont les mineurs et les majeurs sous protection juridique est un sujet délicat pour le législateur. Ce dernier doit instaurer une législation conciliant protection de l’intégrité physique du patient, et respect de son autonomie. Le droit positif échoue à trouver cet équilibre. Les mineurs sont privés de leur capacité d’exercice à toutes les étapes de leur vie, quel que soit leur âge ou leur degré de maturité. Elle réserve également un traitement disparate aux majeurs protégés. Leur autonomie variant selon la prise en compte ou non de leur régime de protection par le Code de la santé publique. À ces difficultés s’ajoute celle de l’existence de nombreux actes spécifiquement réglementés dont les règles ne sont pas toujours cohérentes ni compatibles avec les réalités de la pratique médicale. Une réflexion est menée sur les limites du régime actuel ainsi que sur l’élaboration d’une nouvelle législation plus respectueuse de l’autonomie des mineurs et des majeurs protégés. La possibilité de consentir à un acte médical dépendra non pas du statut juridique du patient, mais de son « aptitude à consentir », notion tirée des législations suisse et québécoise. Toutefois, la volonté de protéger l’autonomie du patient ne devant pas conduire à une mise en péril de son intégrité physique, un encadrement de sa capacité d’exercice sera instauré selon que le soin est ou non requis par son état de santé.

Afin de protéger la personne humaine qui est impliquée dans une recherche scientifique, un cadre juridique doit permettre d'établir le champ d'application de la recherche sur la personne et déterminer dans quelles circonstances il est possible de porter atteinte à son intégrité. Ce cadre s'est élaboré par l'intermédiaire de nombreuses réglementations au niveau international, européen et national, pénétrant progressivement au sein du « laboratoire » du chercheur. Il est la résultante d'une évolution de la pratique expérimentale et de scandales historiques ayant rendu indispensable l'encadrement de la recherche scientifique portant sur la personne humaine. C'est pourquoi il est intrinsèquement lié aux droits fondamentaux de la personne humaine. L'analyse de sa construction permet de mettre en évidence une articulation spécifique entre les droits fondamentaux. La réglementation relative à la recherche scientifique portant sur la personne humaine s'est en effet construite autour de l'impérieuse nécessité de protéger la dignité de la personne humaine. Cela se manifeste à travers une hiérarchie matérielle entre les droits fondamentaux, laquelle est dominée par la dignité de la personne humaine et consolidée par un ensemble de droits subjectifs de la personne (droit à l'information, au consentement et à la protection des données à caractère personnel), qui vient contraindre la liberté de la recherche scientifique. Néanmoins, les progrès techniques et scientifiques de la fin des années 1990, ainsi que la mondialisation progressive de l'activité de recherche, ont progressivement affecté cette hiérarchie matérielle. En effet, l'évolution de la réglementation relative aux recherches scientifiques portant sur la personne humaine traduit l'ambition du législateur de renforcer l'attractivité et la compétitivité de la recherche, préjudiciable à l'effectivité pleine et entière des droits fondamentaux du participant. La recherche scientifique étant mise en oeuvre dans un intérêt collectif divergent de l'intérêt personnel du participant, il en résulte un conflit qui a mené jusqu'alors à l'affaiblissement de l'effectivité des droits des personnes dans les recherches. Bien que la personne est toujours protégée contre le risque de son instrumentalisation à des fins scientifiques, il convient de continuer à se prémunir contre ce risque et de s'interroger sur l'opportunité de rechercher un nouvel équilibre pour renforcer la hiérarchie matérielle entre les droits fondamentaux, tout en ne créant pas des conditions démesurément défavorables à la recherche scientifique.

Depuis 1978, le droit encadre les algorithmes décisionnels, c’est-à-dire les algorithmes aidant ou remplaçant la décision humaine. Pourtant, le développement effréné de ces outils et leur diffusion dans tous les domaines questionnent la pertinence de ces règles ; En particulier, il apparaît que l’encadrement des algorithmes décisionnels s’oriente aujourd’hui vers la protection du destinataire de la décision, soit la personne soumise à la décision prise sur le fondement de l'algorithme. Ce faisant, une part essentielle des enjeux sont oubliés : la protection de l’auteur de la décision et du caractère humain de la décision. La réintégration à sa juste valeur de la protection de l’auteur de la décision, sans oublier celle du destinataire, permet alors de donner toute sa force au droit des algorithmes. Ainsi, les deux catégories classiques d’algorithmes de prise de décision et d’algorithmes d’aide à la décision peuvent être réinterprétées. De la même manière, les règles de conception et d’utilisation des algorithmes décisionnels peuvent également être lues sous la double fonction de la protection de l’auteur et du destinataire de la décision. Dans le premier cas, c’est la faculté même de décider qui est protégée. L’interdiction des algorithmes de prise de décision dans certains domaines ou l’encadrement strict de la légalité de ces outils en sont deux illustrations. Dans le second cas, c’est le droit de ne pas être soumis à une décision prise par une machine qui doit être mis en avant. On retrouve alors de nombreux mécanismes issus du droit du pouvoir tels que la faculté de demander le réexamen de la décision ou l'obligation de motivation.

Cette étude envisage le réseau internet comme un nouvel espace invitant à réinterpréter les libertés de la personne physique. Au titre de celles-ci, sont protégées la liberté individuelle, entendue comme le fait de ne pouvoir être arbitrairement détenu et la liberté d’aller et venir. Il doit en aller de même sur le réseau. Etablissant une analogie avec ces libertés, la première partie de la thèse consacre deux libertés : la liberté d’accès au réseau et la liberté de naviguer sur le web. La première implique de définir le contenu d’un service public de l’accès. De plus, il faut affirmer que la coupure d’accès au réseau doit être envisagée comme une mesure privative de liberté ; elle ne peut donc être décidée que par le juge judiciaire. L’affirmation de la liberté de naviguer sur le web conduit à envisager le régime du blocage des sites, une mesure qui ne peut intervenir que dans le cadre d’une police administrative spéciale. Dans la seconde partie il apparaît que ces deux libertés n’ont toutefois de sens que si l’individu a accès au réseau anonymement et n’est pas surveillé arbitrairement quand il navigue sur le web. Cette étude cherche ainsi à préciser le régime devant encadrer le mécanisme d’adressage du réseau. Sont définies les conditions du contrôle de l’identité de l’internaute à partir de son adresse IP. Enfin, il est soutenu qu’un principe général d’effacement des données révélant les sites visités doit être affirmé, principe qui s’applique aux différents acteurs du réseau, notamment les moteurs de recherche. L’interception de ces données ne peut procéder que d’un pouvoir sécuritaire ou hiérarchique sur l’internaute.