Bibliographie sélective OHADA

La donnée personnelle est par nature une chose immatérielle profondément attachée à la personne et en lien avec les droits fondamentaux de celle-ci. A ce titre, elle obéit à un cadre juridique et à un régime juridique spécial qui en font une « chose » juridique hors du commun. Dès lors s’interroger sur les contrats et les données personnelles amène à se demander quelle était l’influence de la donnée personnelle sur le droit du contrat, tant au regard des modifications que cela peut avoir dans la formation du contrat ainsi que dans son exécution. A chacune de ces étapes, depuis la naissance jusqu’à l’extinction du contrat, il apparaît que la présence de la donnée personnelle donne un relief particulier au contrat, soit en imposant des règles de contrôle particulières du contrat et des contractants, soit en renforçant les mécanismes permettant de protéger le contrat ou les contractants. Le Règlement général sur la protection des données du 27 avril 2016 est venu doter le droit européen d’un ensemble de règles, quelquefois distinctes du droit français et quelquefois plus protectrices que celui-ci, quelquefois mêmes redondantes, qui viennent rappeler le nécessaire devoir de veiller particulièrement à la sécurité des contrats en lien avec la donnée personnelle. Si le texte de droit européen n’est pas exempt de faiblesses ou d’imprécisions, raison pour laquelle le Règlement général sur la protection des données sera surement bien en peine de protéger les personnes concernées contre tous les risques d’utilisation illicite ou frauduleuse des données, il permettra toutefois de doter la sphère contractuelle d’une plus grande rigueur et imposera aux contractants une plus grande conscience sur les enjeux existants dans l’immixtion des données personnelles dans le contrat. Toute la question est dès lors de savoir si ces mesures de protections, nationales ou internationales sont suffisantes.

À travers l'étude du droit relatif à la protection des données à caractère personnel, l'objectif de cette thèse est d'étudier les conséquences de l'application du droit de la protection des données à caractère personnel au big data en santé. En effet, les mégadonnées de santé sont des regroupements de traitement de données de santé à caractère personnel et les projets qui les réutilisent, notamment à des fins de recherche, sont également des traitements de données de santé à caractère personnel. L'étude des efforts de structuration du patrimoine des données en santé est nécessaire. La France centralise un grand nombre de données issues des activités de soins prises en charge par la Sécurité sociale : les données des soins de ville sont regroupées au sein du Système national d'information interrégimes de l'Assurance maladie (SNIIRAM) tandis que celles relatives aux soins hospitaliers sont disponibles dans le Programme de médicalisation des systèmes d'information (PMSI). En raison de leur contenu structuré, ces deux bases de données sont les pièces maîtresses du Système national des données de santé (SNDS) créé en 2016. Le SNDS est une mégabase de données diverses dont le périmètre couvre depuis son élargissement en 2019 la quasi-totalité des données produites par les acteurs intervenant dans les activités prises en charge par la Sécurité sociale, mise en œuvre par la Caisse nationale d'assurance maladie et la Plateforme des données de santé. Le SNDS, s'il centralise un grand nombre de données n'est cependant pas exhaustif, notamment en raison de la fragmentation du patrimoine des données de santé en France. En effet, les données cliniques ne sont pas remontées systématiquement au sein d'une structure unique, rendant l'alimentation du SNDS délicate. Toutefois, des initiatives locales, par la constitution d'entrepôts de données de santé, ou nationales, par des projets couvrant certains aspects du parcours de soin des usagers du système de santé, visent à structurer les données. Après l'étude de ce panorama du patrimoine des données de santé en France, il convient d'analyser les conditions d'accès à cette richesse. En effet, le big data a un intérêt, lorsqu'il est possible d'obtenir communication des données, notamment afin de les réutiliser pour réaliser des recherches qui visent à améliorer le système de santé. Toutefois, en raison de la sensibilité des données de santé et en application des règles générales relatives aux traitements de données à caractère personnel, l'accès aux données massive est restreint. La conciliation de ces exigences avec la nécessité de réutiliser les données engendre de lourdes procédures qui doivent être accomplies à la fois par les structures qui mettent en œuvre des traitements qui alimentent le big data et par celles qui souhaitent réutiliser les données issues de tels traitements. Les acteurs du domaine ont conscience de ces difficultés. Afin d'y remédier, des tentatives d'amélioration de l'accès aux données et d'accompagnement des producteurs et utilisateurs des données voient le jour. Si dans l'ensemble, l'application du droit de la protection des données à caractère personnel est favorable au développement du big data en santé et à sa réutilisation, il est traduit en pratique par des lourdes procédures administratives contraignantes et ne semble pas garantir la transparence de ces traitements vis-à-vis de ceux qui sont à la source des données tant convoitées : les usagers du système de santé.

Au cours des procédures judiciaires, grand nombre de données à caractère personnel sont amenées à intervenir à différents stades et pour divers motifs. Le traitement de données à caractère personnel se trouve encadré par des textes supra nationaux et internes et notamment le règlement général sur la protection des données et la loi informatique et libertés. Ces textes ont réaffirmés et accentués des principes protecteurs pour les individus visés par un traitement de données. S'agissant des procédures judiciaires se posent des interrogations liées à l'exploitation de ces données de part leur valeur probatoire ou informative, nécessitant le fichage de certaines d’entre elles. Le développement du numérique conduit à repenser l'usage des données d'identification. Si les nouvelles technologies constituent des outils utiles à l'administration de la justice, il convient néanmoins de s'interroger sur la protection accordée aux données dans ce nouveau contexte. Au cours des procédures judiciaires, les données à caractère personnel contenues dans les dossiers se trouvent tantôt protégées par un secret, tantôt diffusées par l'application de différents principes processuels ou par les nécessités de la procédure. Une fois la procédure achevée, se pose la question du sort de ces données que ce soit par la gestion des données fichées ou la diffusion des décisions de justice, à l’heure notamment de l’open data. Ces questions renvoient nécessairement à celle du droit à l’oubli qui prend une dimension particulière avec le développement d’internet. Entre nécessité d’informer et protection des données, il convient de s’interroger sur le traitement des données à caractère personnel au cours des procédures judiciaires au regard notamment du droit des données à caractère personnel.

Les normes de soft law, règles ou principes entendus comme les actes non-contraignants pouvant émaner des autorités publiques comme des acteurs privés, permettent d’appréhender ce qu’on appelle communément le droit souple. Classiquement écartées de la panoplie des sources formelles du droit, les normes de soft law sont reléguées le plus souvent au rang de sources nées de la pratique. Cependant, face aux nombreux effets juridiques qu’elles produisent et à la variété de leurs manifestations, on peut raisonnablement penser que les normes de soft law dont la compliance prend sa source, ont une réelle utilité pour encadrer l’activité bancaire et financière. La pertinence de recourir au soft law comme outil de conception de la compliance et de régulation du secteur bancaire et financier fera ainsi l’objet de notre réflexion dans une première partie. Après avoir démontré la diversification des sources dans l’encadrement normatif des activités bancaires et financières, nous analyserons le passé de la régulation. Nous nous interrogerons à cet effet, sur l’intégration du soft law dans l’ordre juridique interne. Puis, nous prolongerons notre réflexion en étudiant plus précisément la pratique de la compliance, qui dissimule un arsenal normatif complexe et des obligations éthiques visant à prémunir les établissements bancaires et financiers contre tout risque de non-conformité. Dès lors, nous tenterons de mesurer l’efficacité du système normatif de régulation dans la défense d’intérêts privés mais également d’enjeux nationaux et déterminerons les progrès restant à parcourir pour lutter contre ses insuffisances. Pour ce faire, nous nous intéresserons dans une seconde partie à la compliance comme expression de la densification normative du soft law en matière bancaire et financière.

This thesis addresses the problem of individuals’ lack of control over personal data in the digital world. It sheds light on market and regulatory failures that lie behind the status quo and proposes a framework to improve regulatory responses. The two regulatory regimes that are at the core of this thesis are EU data protection regulation, which protects individuals’ fundamental rights over data, and EU competition law, which safeguards the sound functioning of the market and consumers’ economic interests. Despite the existence of these two regulatory regimes, individuals do not have sufficient control over personal data collected by digital firms, whose control over large datasets is a factor contributing to market monopolisation. The thesis argues that one reason for the shortcomings of today’s regulatory framework is that the market failure is composed of a combination of factors, which are currently addressed by the different regimes relatively independently. This dichotomy hinders the development of an effective strategy to tackle the market failure in its entirety. The approach taken in this thesis is that by integrating the two regimes, it might be possible to close the gaps deriving from a narrow perception of their regulatory spaces. Hence, the thesis formulates a holistic approach, encompassing data protection regulation and competition law, designed to increase the effectiveness of the regulatory framework as a whole. Different dimensions of the regimes’ interrelation are analysed, to uncover new ways to harness their complementarity and minimise their inconsistencies and overlaps. The thesis looks at how the regimes can incorporate elements from each other to inform their policies and application of their rules, as well as developing a complementary enforcement strategy. The holistic framework ultimately allows both regimes to better tailor their regulatory responses to the functioning of the digital market and take account of the diverse elements that constitute the market failure they seek to correct.