Les fiducies de données personnelles de santé : étude illustrée des enjeux et bénéfices d’une gestion collective de la propriété des données personnelles de santé

(1)

Les fiducies de données personnelles de santé: Étude

illustrée des enjeux et bénéfices d’une gestion

collective de la propriété des données personnelles de

santé

Mémoire

Maîtrise en droit - avec mémoire

Fabien Lechevalier

Université Laval

Québec, Canada

Maître en droit (LL. M.)

et

Université

Paris-Saclay Cachan,France

Master (M.)

(2)

RÉSUMÉ

Le phénomène numérique multiplie les pratiques de recueil de données dans tous les secteurs, mais c’est certainement dans le domaine de la santé, que celles-ci suscitent le plus de questions sur leur statut et sur leur partage. En effet, ces données relevant à la fois du bien commun de l’humanité et du plus profond de l’intime, nous poussent à nous interroger sur le régime juridique le plus adapté à leur appliquer afin préserver au mieux la vie privée des personnes. Alors que la réalité du partage et de l'analyse des données a changé, la théorie de la vie privée a pris du retard. Les théoriciens de la vie privée diffèrent notoirement et largement sur la conception appropriée de la vie privée mais ces nombreuses théories ont tendance à partager une hypothèse théorique sous-jacente. La plupart des théories dominantes de la vie privée analysent, en effet, cette notion à travers la lentille de l’individualisme. Partant, nos objectifs spécifiques sont de discuter du surinvestissement de la théorie de la vie privée dans les théories centrées sur l’individu et de la nécessité pour les décideurs politiques de s'engager pleinement dans le débat d’une gestion collective des droits qui y sont attachés afin d’apporter une solution idoine aux vulnérabilités crées par l’« ère Big Data ».

Face aux limites inhérentes à l’approche individuelle, la solution d’une autonomie interactive et relationnelle, dans laquelle la personne gère ses données mais est intégrée à un projet collectif semble être la plus propice à répondre aux enjeux de notre objet. La problématique angulaire de la consécration de ce droit collectif sur les données est celui de l’inscrire dans un cadre légal. Or la majorité des véhicules juridiques reposent sur une logique de propriété qui est, dans une certaine mesure, antinomique à la naturelle extrapatrimonialité des données. Pourtant les fiducies de données offrent un modèle souple et inclusif qui permettrait aux gouvernements et à l’industrie d’harmoniser la réglementation avec les technologies tout en laissant favorisant l’émergence d’une nouvelle famille de communs. Si le recours à ce véhicule nécessite la reconnaissance préalable de la qualité de biens aux données, et donc d’un droit propriétaire, les fiducies de données pourraient, dans le domaine de la santé, tirer profit des structures actuelles de gouvernance juridique afin de protéger le public contre les atteintes à la vie privée et les pratiques de collecte et d’utilisation de leurs données personnelles contraires à l’éthique.

(3)

TABLE DES MATIÈRES

RÉSUMÉ ii

TABLE DES MATIÈRES iii

LISTE DES ABRÉVIATIONS, SIGLES, ACRONYMES vii

REMERCIEMENTS viii

INTRODUCTION 1

I. OBJET DE L’ÉTUDE 2

A. Définitions et catégorisations de l’objet d’étude 2

1. La vie privée 2

2. La donnée 3

3. La donnée de santé 5

B. Justification de l’étude 6

1. Un objet source d’enjeux économiques 6

2. Un objet source de tensions juridiques 7

II. PROBLÉMATISATION DE L’ÉTUDE 10

A. La vie privée comme bien collectif 10

1. Le biais individualiste de la vie privée 10

a. L’influence historique de l’individualisme dans l’avis et le choix moderne 11 b. L’individualisme dans le discours transatlantique de la vie privée 12 2. Les conceptions du bien public dans la théorie de la vie privée 14

a. La vie privée dans le bien public 14

b. La vie privée en tant que bien collectif 15

B. La fiducie comme véhicule de gestion collective de la vie privée 18

1. Les conceptions hétérogènes de la fiducie 18

a. L’intégration d’une institution empruntée à la common law 18 b. L’acculturation de la fiducie en droit civil 19 2. L’intégration du concept fiduciaire dans la gestion collective de la vie privée 20 a. Une technique de droit privé au service du bien public et créatrice de biens collectifs 21 b. Vers la création d’un outil de gestion collective des droits attachés aux données 22

(4)

IV. MÉTHODOLOGIE DE L’ÉTUDE 23

V. THÈSE DE L’ÉTUDE 25

VI. STRUCTURE DE L’ÉTUDE 26

PARTIE I: DE LA PROPRIÉTÉ DES DONNÉES PERSONNELLES DE SANTÉ 28

Chapitre préliminaire 29

Chapitre 1: La possibilité d’un droit de propriété sur les données de santé 31 Section 1. La possibilité d’un droit de propriété sur les données de santé à travers ses prérogatives 31

§1. L’usus, la pierre angulaire du droit positif sur les données de santé 32

A. Le droit d’usage naturel du patient sur ses données de santé 32

1- Le consentement du patient à l’usage de sa donnée 32

2- Le patient, créateur de données de santé 34

B. Le droit d’usage limité du patient sur ses données 35

§2. Le fructus, prérogative ambivalente sur les données de santé 36

A. Un prérogative au profit des collecteurs 37

1- Les données personnelles mises en base 37

2- Les données personnelles unitaires 39

B. Une prérogative profitable aux patients 40

1- Le droit des données personnelles de santé, un droit par nature extrapatrimonial 40 2- Le droit des données personnelles de santé, un droit par nécessité patrimonial 42

§3. L’abusus, une notion à déconstruire 43

A. La personne humaine, un être inaliénable 44 B. La donnée, un objet détachable et aliénable de la personne 45

Section 2. La possibilité d’un droit de propriété sur les données de santé à travers ses caractères 47

§1. L’identification d’un caractère absolu 47

A. L’absoluité des droits de la personne sur ses données santé. 48

1- Le consentement, la matérialisation historique du caractère absolu 48

2- Le droit à l’oubli, la matérialisation moderne du caractère absolu 50

B. Les restrictions aux droits absolus de la personne sur ses données de santé 51

§2. L’identification d’un caractère exclusif 52

A. L’exclusivité face à la nature ubiquitaire des données de santé 53 B. L’indiscutable rapport d’exclusivité entre un patient et sa donnée de santé 54

§3. L’identification d’un caractère perpétuel 55

A. L’application de la conception classique des droits de la personnalité 56 B. La nécessité d’un renouvellement de la conception 58

Chapitre 2. La pertinence d’un droit de propriété sur les données de santé 61 Section 1. La reconnaissance d’un droit de propriété sur les données de santé: un choix séduisant 61

(5)

§1. Une armure juridique avancée 61

A. Le droit de propriété, garant inébranlable de sécurité juridique 62 B. Le droit de propriété, garant d’un statut de droit fondamental 63

§2. Une arme économique attrayante 64

A. Le droit de propriété, outil de valorisation économique des données 64

1- La reconnaissance de la valeur économique des données par le droit de propriété 64 2- La reconnaissance de la fonction économique du droit de propriété pour les données 66

B. Le droit de propriété, outil de rééquilibrage économique 67

Section 2. La reconnaissance d’un droit de propriété sur les données de santé: un choix risqué 68

§1. Un droit fondamentalement limité 68

§2. Un droit potentiellement risqué 70

A. Une patrimonialisation des données socialement inacceptable 71

1- Un droit de propriété en rupture avec le principe d’égalité 71

2- Un droit de propriété dangereux pour l’autonomie de la volonté 72

B. Une exclusivité dommageable 73

PARTIE II: DES FIDUCIES DE DONNÉES PERSONNELLES DE SANTÉ 77

Chapitre préliminaire 78

Chapitre 1: L’adaptabilité du modèle fiduciaire à un nouvel objet 80 Section 1: Le régime de la propriété fiduciaire au moment de la constitution 80

§1. La fiducie comme modalité de la propriété portant sur les données de santé 80

A. La possibilité théorique d’une propriété fiduciaire sur les données de santé en droit civil 80 B. La reconnaissance pratique d’une propriété fiduciaire sur les données personnelles de santé : l’exemple du

droit civil français 83

§2. La fiducie comme intermède à la propriété sur les données personnelles de santé 85

A. La reconnaissance d’un patrimoine d’affectation détaché du droit réel : l’exemple du droit civil québécois 85 B. Étude de l’opportunité d’une rupture du lien entre les données placées en fiducie et la propriété 87

Section 2: Le régime de la propriété fiduciaire au moment de l’exécution 90

§1. Les conséquence du transfert des risques à l’égard du fiduciaire 90

A. Les obligations du fiduciaire 91

1- La mission de conservation du fiduciaire 92

2- La mission de gestion du fiduciaire 93

B. La responsabilité du fiduciaire 94

1- La responsabilité civile du fiduciaire 96

2- La responsabilité pénale du fiduciaire 97

§2. L’organisation de la mission du fiduciaire 98

A. Le contrôle d’une autorité indépendante 98 B. La création d’une charte des bonnes pratiques 99

Chapitre 2: L’adaptation du modèle fiduciaire à un nouvel enjeu 103

(6)

§1. Un outil de création de biens communs 104

A. Le droit de l’environnement et le droit au respect de la vie privée: une convergence des luttes 104 B. La fiducie d’utilité sociale québécoise: un outil de coopération pour faire face au dilemme social 106

§2. Un outil de rééquilibrage d’intérêts contradictoires 107

Section 2: Un véhicule à l’avenir néanmoins incertain 109

§1. Les limites juridiques à l’exploitation du modèle fiduciaire 109 §2. Les limites socio-économiques à l’exploitation du modèle fiduciaire 111

CONCLUSION GÉNÉRALE 114

(7)

LISTE DES ABRÉVIATIONS, SIGLES, ACRONYMES

APD : Archives de philosophie du droit C. civ. : Code civil

CCE : Communication Commerce électronique CEDH : Cour européenne des droits de l’homme CJUE : Cour de justice de l’Union Européenne CPI : Cahiers de propriété intellectuelle D. : Recueil Dalloz

FUS : Fiducie d’utilité sociale IA : intelligence artificielle

JCP G : La Semaine juridique, édition générale LGDJ : Librairie générale de droit et de jurisprudence LPA : Les Petites Affiches

OCDE : Organisation de coopération et de développement économique PUF : Presses universitaires de France

RFDA : Revue française d’éthique appliquée RLDI : Revue Lamy Droit de l’immatériel S. : suivant(e)(s)

(8)

REMERCIEMENTS

Je souhaite avant tout remercier mes professeurs et directeurs de recherche, M. Jean Lapousterle et M. Pierre-Luc Déziel, pour avoir codirigé ce mémoire en apportant leurs précieux et avisés conseils mais également pour la grande confiance qu’ils ont su m’accorder. Je remercie, par ailleurs, M. Mario Naccarato pour m’avoir fait bénéficier de son expertise et pour ses éclaircissements utiles à l’occasion de l’atelier de présentation du mémoire.

Je souhaite ensuite remercier Mme Alexandra Bensamoun, directrice du M2 PIFTN, pour m’avoir permis de vivre cette expérience incroyable tant sur le plan humain qu’intellectuel et pour l’occasion qu’elle m’a offerte d’enfin trouver ma voie.

Je souhaite bien entendu remercier mes proches – Papa, Maman, Clément, Mamie pour ne citer qu’eux – pour leur soutien indéfectible tout au long de cette énième année d’étude qui m’a permis de me révéler et d’affirmer mon projet professionnel.

Enfin, et surtout, merci à toute la promotion PIFTN 2019/2020 pour leur soutien, les moments de joie partagés et d’angoisse dus à la pandémie COVID-19 que nous avons dû affronter loin de notre mère patrie. Un petit remerciement particulier à Clotilde, mon pilier durant cette période de rédaction qui ne fut pas tous les jours facile. Tu as toujours su trouver les bons mots, pour ne pas dire les « mots idoines », au sens propre comme au figuré.

(9)

INTRODUCTION

« Big Data » sont deux petits mots avec une énorme signification sociétale1_{. Ces mots signifient}

un phénomène complexe qui a fini par définir la deuxième décennie du XXIe siècle. Les mégadonnées sont de vastes quantités d'informations susceptibles d'être collectées, stockées et analysées à grande échelle. À l'aide de ces données, les entreprises et les chercheurs peuvent déployer des algorithmes complexes et des technologies d'intelligence artificielle pour révéler des modèles, des connexions, des comportements, des tendances, des identités et des connaissances pratiques autrement inconnus. Dans le domaine de la santé, le big data correspond à l’ensemble des données socio-démographiques et de santé, disponibles auprès de différentes sources qui les collectent pour diverses raisons2_{. Ces informations proviennent des pratiques}

gouvernementales et commerciales, des transactions des consommateurs et des applications numériques parfois appelées « Internet des objets »3_{. Les individus contribuent de manière invisible aux Big Data}

chaque fois qu'ils vivent des modes de vie numériques ou participent à l'économie numérique, comme lorsqu'ils effectuent une transaction à l’aide d’une carte de crédit, se font soigner à l’hôpital, utilisent une application mobile reliée à une montre connectée, recherchent un sujet sur Google ou publient sur Facebook4_.

Le phénomène Big data multiplie ainsi les pratiques de recueil de données dans tous les secteurs, mais c’est certainement dans le domaine de la santé, que celles-ci suscitent le plus de questions sur leur statut et sur leur partage. L’exploitation de ces données présente, en effet, de nombreux intérêts dans le cadre de la médecine personnalisée : identification de facteurs de risque de maladie, aide au diagnostic, au choix et au suivi de l’efficacité des traitements, pharmacovigilance, épidémiologie… Mais à côté de ces perspectives très bénéfiques pour la santé publique, il est à craindre que, malgré les contrôles prévus, les données soient exploitées dans un intérêt économique au détriment de l'intérêt public. Devrions-nous craindre un refus de notre police d’assurance de couvrir certains types de soins en raison de données préalablement obtenues qui démontrent notre prédisposition à développer tel ou tel type de pathologie? L’exploitation de nos données de santé pose de nombreux défis techniques et humains, et pose autant de questions éthiques que juridiques. Ces données relevant à la fois du bien commun de l’humanité et du plus profond de l’intime, nous poussent à nous interroger sur le régime juridique le plus adapté à leur appliquer afin de préserver au mieux la vie privée des personnes.

1_{D. BOLLIER, The promise and peril of Big Data (2010),}

https://www.emc.com/collateral/analyst-reports/10334-ar-promise-peril-of-big-data.pdf [https://perma.cc/CD6F-ACYZ].

2_{R. THEIBAUT, Big data en santé: Des défis techniques, humains et éthiques à relever, INSERM (1er Juin 2016)} 3_{Le terme populaire «Internet des objets» désigne le résultat de la connexion d'outils et d'appareils de tous les jours -}

comme les systèmes de chauffage, les réfrigérateurs et les FitBits - à Internet pour améliorer leur accessibilité et leur fonction. Voir Jacob MORGAN, « A Simple Explanation of The Internet of Things », Forbes (13 Mai 2014, 12:05 am), http://www.forbes.com/sites/jacobmorgan/2014/05/13/simple-explanation-internet-things-that-anyone-can-understand/#4a6ee29b6828.

4_{A. ALLEN, « Protecting One's Own Privacy in a Big Data Economy », (2016), 130:71 Harvard Law Review}

(10)

I. OBJET DE L’ÉTUDE

La question de la vie privée est un objet d’étude ancien qui a connu un renouveau à l’ère numérique avec d’importants développements en ce qui concerne le secteur de la santé. Il convient de préalablement le définir (A) pour ensuite justifier son étude (B).

A. Définitions et catégorisations de l’objet d’étude

L'objet d'étude principal au cœur du sujet de la recherche est évidemment la donnée de santé (3). Mais pour pouvoir définir cet objet, il faut pouvoir spécifier tout d'abord la donnée (2) qui elle-même procède d'une autre notion délicate à saisir, la vie privée (1).

1. La vie privée

Le respect de la vie privée est profondément ancré chez les êtres humains. Le respect de la vie privée est dans sa forme essentielle traditionnellement fondé sur les notions de dignité personnelle et d’intégrité. Toutefois, cela est difficile à définir avec un degré convenu de précision. Dans des contextes différents, cela englobe le droit à la liberté de pensée et de conscience, le droit d’être seul, le droit de contrôler son propre corps, le droit de protéger sa réputation, le droit à une vie familiale, le droit à une sexualité qu’on a soi-même choisie5_{. Ces notions varient néanmoins d’un contexte à un autre. En dépit de}

son ubiquité, la définition de la vie privée n’est pas universellement admise et comprise de la même façon. À époque contemporaine, la vie privée informationnelle comporte deux dimensions – premièrement les questions relatives à l’identité d’une personne et deuxièmement la façon dont les informations personnelles sont traitées. La vie privée personnelle et territoriale évoque d’autres dimensions.

L’idée qu’on se fait de la vie privée est depuis longtemps façonnée par les technologies disponibles. Historiquement, le respect de la vie privée implique la limitation des invasions de l’espace physique et la protection du domicile et des biens personnels. Les préoccupations concernant les informations détenues sur une personne sont venues avec les technologies de la communication. Toutefois, les inquiétudes causées par l’érosion du respect de la vie privée ne sont pas nouvelles. En fait, on pourrait affirmer qu’elles sont une caractéristique du XXe siècle. Le document fondateur de Warren et Brandeis intitulé « The Right to

Privacy » en 18906_{, rédigé au temps des premières impressions des images des personnes dans les journaux,}

définissait le droit comme celui d’être laissé en paix7_{. Leur définition se souciait de protéger la}

« personnalité inviolable » et d’englober des valeurs telles que la dignité individuelle, l’autonomie

5_{« Le droit au respect de la vie privée », JCP 68, doctrine 2136}

6_{S. D. WAREN, L. D. BRANDEIS, « The right of privacy », (1890), HARVARD LAW REVIEW, vol. 4, pp. 193 à 220} 7_{Selon l’expression, « to be left alone ».}

(11)

personnelle et l’indépendance8_{. Le législateur français, en 1970}9_{inséra dans le Code Civil un article 9 dont}

l'alinéa 1er affirme solennellement que : « chacun a droit au respect de sa vie privée » et créa dans le code pénal un délit d'atteinte à l'intimité de la vie privée (aujourd'hui inscrit aux articles 226-1 et suivants).

La croissance des médias et l’accent mis par les industries de la publicité sur la compréhension des désirs des consommateurs a conduit Myron Brenton à affirmer que nous vivons à « l’ère de l’aquarium», où les vies privées sont rendues publiques par la manipulation et les transferts des données personnelles10_.

Dernièrement, le droit à la vie privée a aussi été défini comme le droit des individus de déterminer quand, comment et dans quelle mesure les informations les concernant sont communiquées à autrui11_{face à la}

montée en puissance des technologies embarquées12_{. Au Canada, c’est un droit qui entend conférer aux}

individus un « contrôle » sur les modalités de circulation et de diffusion de leurs renseignements personnels. La dimension spécifique de la vie privée créée par l’ère numérique relève de la gouvernance des données dont la réglementation forme une excroissance moderne du droit au respect de la vie privée.

2. La donnée

« Le Droit est [notamment] mis en difficulté parce que le terme de « donnée » assez nouveau n'est pas aisé à définir »13_{. Pourtant la donnée est au coeur des technologies numériques et le Droit ne lui a}

toujours pas octroyé un sens juridique. Le dictionnaire la définit comme une « représentation

conventionnelle d'une information en vue de son traitement informatique »14_{. Une donnée serait donc une}

molécule composée de deux atomes indissociables : l'information et l'informatique. En d'autres termes, ce serait une « information informatisée » ou plutôt une « information technologisée ». La communauté juridique s'accorde sur cette définition15_{. Seul l'arrêté du 22 décembre 1981 relatif à l'enrichissement du}

vocabulaire informatique s'est risqué à l'exercice de la définition de la donnée et se rapproche des définitions doctrinales précédentes : « représentation d'une information sous une forme conventionnelle destinée à

faciliter son traitement »16_.

8_{E. BLOUSTEIN, « Privacy as an aspect of human dignity: an answer to Dean Prosser », (1964), 39 NYU LAW}

REVIEW 962

9_{Article 22 de la loi n° 77-643 du 17 juillet 1970.}

10_{M. BRENTON, The Privacy Invaders, Coward McCann (éd.) (1964)}

11_{Le droit au respect de la vie privée, selon Westin, « est la revendication des individus, des groupes ou des institutions}

de décider eux-mêmes quand, comment et dans quelle mesure les informations les concernant sont communiquées à autrui… C’est le désir des individus de choisir librement dans quelles circonstances et dans quelle mesure ils livrent leur personne, leurs attitudes et leurs comportements à autrui » : A. F. WESTIN, Privacy and Freedom New York: Atheneum, Ig Publishing (éd.), 1967, p. 7

12_Ibid.

13_{M. - A. FRISON-ROCHE, « Les conséquences régulatoires d'une monde repensé à partir de la notion de données »,}

(2016), Internet, espace d'interrégulation (ss. dir. M. - A. FRISON-ROCHE), Dalloz, Thèmes et commentaires, p. 7

14_{Le Petit Larousse illustré, 2017}

15_{Ainsi, Mme DE LA LAMBERTHERIE a affirmé qu'il « ressort des définitions qu'une donnée est une information}

valorisée qui possède une valeur ajoutée d'ordre technologique » : I. DE LALAMBERTERIE, « Qu'est-ce qu'une donnée de santé ? », dans « Le droit des données de santé », (2004), RGDM , Numéro spécial, LEH, p. 13 ; Mme

Frison-Roche l'envisage comme un « élément de fait qu'une personne extrait du monde réel, c'est-à-dire une

information » : FRISON-ROCHE, op. cit.

(12)

La donnée dans sa singularité a donc été peu définie par le droit qui a du néanmoins s’y confronter dans sa tentative de définition de la notion de base de données en droit de le propriété intellectuelle. Le législateur européen a ainsi encadré ces ensembles de données en 199617_{par l'adoption d’une directive}

visant à harmoniser la législation des États membres dans un objectif de meilleure protection des bases de données. Ce texte, transposé en droit français en 199818_{, visait avant tout à protéger les investissements}

économiques faits dans les bases de données soit dans « un recueil d'oeuvres, de données ou d'autres

éléments indépendants, disposés de manière systématique ou méthodique et individuellement accessibles par des moyens électroniques ou d'une autre manière »19_{. Les textes ne visent donc pas les données, mais}

un ensemble de données, en d'autres termes le contenant et non le contenu. Il semble tout de même que l'objectif poursuivi fut celui de « l'appropriation de la valeur économique que constitue l’information »20

grâce à l'interdiction de l'extraction ou de la réutilisation d'une partie substantielle de la base, sous réserve d'un investissement de la part du producteur.

Ainsi, le premier acte juridique notable en matière de droit des données a été la loi du 6 janvier 1978 dite Loi « Informatique et Liberté »21_{. Il s'agissait alors de protéger les individus, les personnes de}

toute atteinte à leur vie privée, que l'industrie informatique facilitait. La loi qui avait pour ambition de répondre aux grands enjeux juridiques du numérique, via le prisme des libertés publiques et individuelles a dans son sillage défini la notion de données cette fois ci personnelles comme suit : « toute information

relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ». La

règlementation européenne s'appuie sur une définition presque identique22_{. Par comparaison, selon le}

paragraphe 2(1) de la Loi sur la protection des renseignements personnels et les documents

électroniques (2000, ch. 5) (ci-après LPRPDE), le terme « renseignement personnel » s’entend de « [t]out renseignement concernant un individu identifiable ».

17_{Directive 96/9/CE du Parlement européen et du Conseil, du 11 mars 1996, concernant la protection juridique des}

bases de données

18_{Loi n° 98-536 du 1er juillet 1998 portant transposition dans le code de la propriété intellectuelle de la directive}

96/9/CE du Parlement européen et du Conseil, du 11 mars 1996, concernant la protection juridique des bases de données

19_{Article 1er de la Directive 96/9/CE du Parlement européen et du Conseil, du 11 mars 1996, concernant la protection}

juridique des bases de données

20_{A. LUCAS, H.-J. LUCAS, A. LUCAS-SCHLOETTER, Traité de la propriété littéraire et artistique, Litec, 4e éd.,}

2012, p. 45; v. contra cette opinion B. EDELMAN, « Les bases de données ou le triomphe des droits voisins » , (2000),

D ., chron. p. 98

21_{Loi " Informatique et Libertés "; Etudes doctrinales, voir notamment : J. ARRIGHI DE CASANOVA & S.}

FORNERI, " Une nouvelle étape de l'amélioration des relations entre l'Administration et les citoyens : la loi « DCRA » du 12 avril 2000 ", RFDA , 2000, pp.725; N. METALLINOS, " Maîtriser le risque Informatique et Libertés ", Dr.

soc., 2006. pp. 378; A. DEBET, « Informatique et libertés : faut-il aujourd'hui réviser la directive 95/46/CE relative à

la protection des données personnelles ? », D ., 2011. p. 1034; A. MAITROT DE LA MOTTE, " La réforme de la loi informatique et libertés et le droit au respect de la vie privée » , AJDA , 2004. pp. 2269; S. VULLIET-TAVERNIER, " Après la loi du 6 août 2004 : nouvelle loi « informatique et libertés » , nouvelle CNIL ? », (2004) , Dr. soc .. pp.1055

22_{Article 4 Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des}

personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 96/46/CE (règlement général sur la protection des données): « toute information se rapportant

(13)

3. La donnée de santé

Nous avons pu circonscrire la notion de vie privée et de donnée pour permettre de définir notre objet d'étude principal, la donnée de santé. Si une donnée est une « information technologisée » alors une donnée de santé serait en toute logique « une information technologisée de santé ». Cela nous impose donc de définir ce qu'est la santé. C'est la définition de l’Organisation mondiale de la Santé (OMS) qui est classiquement retenue : « la santé est un état de complet bien-être physique, mental et social, et ne consiste

pas seulement en une absence de maladie ou d’infirmité »23_{. On pourrait en déduire que les données de}

santé peuvent être relatives à un état physique, mental ou social. Jusqu’à très récemment le droit s’est contenté de cette définition nébuleuse mais le règlement européen est venu remédier à ce vide en les décrivant comme « les données à caractère personnel relatives à la santé physique ou mentale d’une

personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne »24_{. Pour reprendre la définition de la donnée, finalement la donnée de}

santé « est le résultat d’une transformation d'une information médicale, destinée à la mettre sous une forme

compatible avec un traitement défini »25_.

Les données personnelles de santé font partie d’un ensemble qui bénéficie d'une protection encore plus accrue que les données « classiques » : les données personnelles dites sensibles26_{. Ces données}

jouissent d'un régime juridique spécifique du fait du type d'information particulièrement intime qu'elles contiennent. Si la donnée personnelle de santé jouit du statut de données sensibles c’est parce que son lien avec l'intimité, la vie privée, est particulièrement fort, plus que pour d'autres données. Cet aspect montre bien toute la spécificité de la santé à l'égard du numérique, car les données personnelles concernant ce secteur ont trait à une dimension « intime de l’intime ». À l’étranger la Loi sur la protection des renseignements personnels et les documents électroniques suggère une définition de « renseignements

23_{Préambule à la Constitution de l'Organisation mondiale de la Santé, tel qu'adopté par la Conférence internationale}

sur la Santé, New York, 19-22 juin 1946; signé le 22 juillet 1946 par les représentants de 61 Etats. 1946; (Actes officiels de l'Organisation mondiale de la Santé, n°. 2, pp.100) et entré en vigueur le 7 avril 1948

personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 96/46/CE (règlement général sur la protection des données) a lire à la lumière du considérant 53 : « Les données à caractère personnel concernant la santé devraient comprendre l'ensemble des données se

rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l'inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil (1) au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l'identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l'examen d'une partie du corps ou d'une substance corporelle, y compris à partir de données génétiques et d'échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro ».

25_{F. GREMY, Informatique Médicale : introduction à la méthodologie en médecine et santé publique, Flammarion}

Médecine, coll. "Biologie", pp. 422 (1987)

26_{On y trouve aussi les données personnelles relatives aux origines raciales ou ethniques, aux opinions politiques,}

(14)

personnels sur la santé » sans toutefois en faire ultérieurement usage27

_{. La difficulté à circonscrire la notion}

de donnée et notamment celle de donnée de santé ainsi que la particularité de ces objets, révèle tout l'intérêt d’une étude centrée sur ces éléments.

B. Justification de l’étude

Une étude portant sur les données de santé se justifie par l'ampleur des enjeux économiques (1) dont il est question. Cette importance considérable rejaillit inévitablement sur le droit qui révèle de fortes tensions entre les objectifs qu’il poursuit et la réalité d’aujourd’hui (2).

1. Un objet source d’enjeux économiques

« Le numérique [...] permet une mise en données du monde »28_{, mais il permet surtout une mise}

en donnée des personnes. L'individu est au centre de cette économie de la donnée, il s'agit d'en savoir le plus possible sur lui, sur ce qu'il est, ce qu'il fait et ce qu'il pense pour lui fournir des services adaptés à son profil, pour adapter les publicités selon ses goûts ou encore pour calculer sa prime d’assurance selon son mode de vie. L'accumulation et l'exploitation de données personnelles permettent le véritable «

sur-mesure ». Par conséquent, « avec la numérisation des données, l’information sur la personne non seulement fait l’objet d’un traitement massif, mais est devenue partie intégrante d’un marché »29_{et cette masse de}

données captées sur les individus est fondatrice de l'économie actuelle de l’Internet.

On assiste ainsi à une collision entre deux plaques tectoniques représentant des intérêts, des forces contradictoires30_{. La tentation économique et la protection des libertés individuelles s'affrontent au sein de}

ce nouvel espace numérique. Force est de constater que le profit et la rentabilité prennent le pas sur les droits des personnes. Les données personnelles apparaissent comme de véritables marchandises sans que

27_{Article 2 Loi sur la protection des renseignements personnels et les documents électroniques , LC 2000, c. 5 (ci-après}

« Loi sur le privé ») “En ce qui concerne un individu vivant ou décédé :

● a) tout renseignement ayant trait à sa santé physique ou mentale;

● b) tout renseignement relatif aux services de santé fournis à celui-ci;

● c) tout renseignement relatif aux dons de parties du corps ou de substances corporelles faits par lui, ou tout

renseignement provenant des résultats de tests ou d’examens effectués sur une partie du corps ou une substance corporelle de celui-ci;

● d) tout renseignement recueilli dans le cadre de la prestation de services de santé à celui-ci;

● e) tout renseignement recueilli fortuitement lors de la prestation de services de santé à celui-ci. (personal

health information)”

28_{M. DE SAINT PULGENT, « Les besoins d'interrégulation engendrés par Internet, Propos Introductifs », (2016),}

Internet, espace d'interrégulation (ss. dir. de. M. - A. FRISON-ROCHE), Dalloz, Thèmes et commentaires, p. 4

29_{N. MALLET-POUJOL, « Appropriation de l'information : l'éternelle chimère », (1997), Recueil Dalloz , p. 330} 30_{« tous les secteurs de l'économie reposent aujourd'hui sur la puissance des agents économiques à disposer de}

l’information, à la mettre en masse pour mieux la segmenter jusqu'au plus près des contours de l'individu même [...] chaque individu constituant une cible, appelant une norme qui lui soit propre, ce qui implique un souci dans tous les secteurs pour les libertés puisqu'une norme qui s'ajuste à chaque individu est par définition un danger pour celui-ci, tandis que les secteurs qui reposent sur l'information, sa segmentation, sa mise en masse et sa reconstruction, sont de nouveaux gisements de richesse et de développement » M. - A. FRISON-ROCHE, « Les conséquences régulatoires

d'une monde repensé à partir de la notion de « données » », (2016), Internet, espace d'interrégulation (ss. dir. M. - A. FRISON-ROCHE), Dalloz, Thèmes et commentaires, p. 13

(15)

les individus y aient forcément consenti. « Le sujet s'expatrie dans la valeur »31_{, la frontière entre bien et}

personne s'estompe, et c'est « aujourd'hui la forme marchande du sujet qui domine l'univers juridique »32_.

Les données personnelles de santé catalysent tous les enjeux liés aux données. Ces données ont aujourd'hui une valeur qui a dépassé sur le marché noir la valeur des numéros de sécurité sociale ou de cartes bancaires et qui attise les convoitises de nombreux tiers comme certains géants du numérique, professionnels de l’assurance, de la banque, ou tous hackers mal intentionnés33_{. Mais au-delà de ce pur}

potentiel économique, les données de santé revêtent aussi un intérêt sanitaire certain. L'exploitation des données de santé permettra d'individualiser, de personnaliser la prise en charge médicale des patients. Cette médecine du futur, faisant appel à « trois facteurs principaux : le développement des sciences “omiques”,

les liens de plus en plus étroits entre thérapies médicamenteuses et dispositifs médicaux, et l’intégration du potentiel du numérique dans la médecine »34_{, jouera un rôle majeur dans l'amélioration à venir de l'état de}

santé des individus. Le développement de cette médecine individualisée suppose des innovations génétiques mais aussi un accroissement des capacités de collecte et d'analyse des données de santé pour approcher au plus proche du bon traitement pour chaque patient. Ces enjeux colossaux influencent inévitablement la pratique et les droits des données de santé.

2. Un objet source de tensions juridiques

En France, le régime érigé par le Règlement Général sur la Protection des Données (RGPD) institue le principe d’une interdiction générale de la collecte desdites données35_{qui peut être levée par le}

31_{B. EDELMAN, « De la propriété-personne à la valeur-désir »,, (2004) D. , p. 155} 32_Ibid.

33_{Ces données ont un potentiel économique considérable pour des acteurs comme les assureurs, car grâce à ces données}

ils peuvent mieux gérer leur risque. Un assureur est avant tout un gestionnaire de risques et la multiplication de données disponibles est autant de possibilités de réduire son risque. Il en va de même avec une banque par exemple lors de l'octroi de prêts bancaires. Ces données ne sont pas intéressantes que pour les assureurs privés, elles le sont aussi pour L'Assurance Maladie qui dans un contexte de déficit colossal et croissant cherche forcément à rationaliser ses dépenses. Même si chaque acteur ne peut légalement accéder, croiser ses fichiers avec d'autres bases et notamment celles de l'Assurance Maladie, ils se lancent dans la constitution de leurs propres bases de données de santé afin justement de pouvoir élaborer leurs modèles économiques, leurs modèles de gestion de risque, etc.

34_{R. PICARD, « Médecine personnalisée : de quoi parle-t-on ? une vision prospective », (Novembre 2014), Annales}

des Mines - Réalités industrielles, 2014/4, pp. 99-106

personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 96/46/CE (règlement général sur la protection des données) « - Traitement portant sur des

catégories particulières de données à caractère personnel - Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. »

(16)

consentement éclairé et exprès du patient36_{ou bien pour des intérêts de santé publique}37_{. Cependant}

l’efficacité de ce cadre juridique est déjà contestée en doctrine et en pratique. La critique qui est souvent faite est que le consentement ne reflète pas les intérêts réels des individus. Cela est d’autant plus vrai sur Internet, où toute interaction avec un prestataire de service ne peut se faire qu’après avoir consenti à une politique de confidentialité des données qui est très souvent large et opaque. Des études relèvent que les internautes lisant entièrement et constamment les conditions d’utilisation sont une minorité. Dans une étude menée par la Commission européenne, en 2015, seulement 7% des internautes français disaient lire toujours

ou fréquemment les conditions d’utilisation (comprenant les politiques de confidentialité). En 2014, dans le même ordre d’idée, une étude Ipsos France révélait que 67% d’entre eux assuraient lire que rarement ou

jamais ces conditions d’utilisation38_{. Avec l’arrivée du Big data et du deep learning, la situation s’est encore}

aggravée puisque tout internaute désirant bénéficier d’un service personnalisé n’a plus la possibilité à l’heure actuelle de s’opposer à la collecte et au traitement de ses données personnelles en raison des configurations techniques des algorithmes.

Par ailleurs, au sein de la société hyperconnectée dans laquelle nous vivons, les données ne sont plus de simples données personnelles, mais des « données en réseaux » qui lient plusieurs personnes les unes avec les autres. Antoinette Rouveroy parle à ce titre de données « relationnelles ». En effet, nous interagissons constamment les uns avec les autres de sorte qu’il est de plus en plus difficile d’identifier des données qui sont vraiment « personnelles ». Aujourd’hui, les utilisateurs des nouvelles technologies divulguent constamment des informations, et donc potentiellement des données relatives à la santé, sur le moindre de leurs mouvements39_{notamment au travers des réseaux sociaux}40_{. Les consommateurs le font}

dans la croyance erronée que les données sont éphémères, ou en raison de promesses trop souvent rompues que les données des consommateurs peuvent être conservées à l'abri d'autres consommateurs ou de tiers

personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 96/46/CE (règlement général sur la protection des données) « - Licéité du traitement - Le

traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie: a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; (…)

personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 96/46/CE (règlement général sur la protection des données) « - Licéité du traitement - Le

traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie: (…) d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique; e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement; f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »

38_{« Les français et le Big Data », (2015) Ipsos-France, Enquête auprès des consommateurs, p.16 et p.28}

39_{Ils le font sur les commerces qu’ils visitent, les itinéraires qu’ils empruntent, les activités qu’ils réalisent, la nourriture}

qu'ils ingèrent et les personnes qu'ils rencontrent. Voir M. BIRNHACK, « Reverse Engineering Informational Privacy Law », (2013), 15 YALE J.L. & TECH. 24, p. 86

40_{Les utilisateurs des réseaux sociaux taguent des photos les uns des autres sur Facebook et se référencent dans des}

publications géolocalisées. Voir J. GRIMMELMANN, « Saving Facebook », (2009), 94 IOWA L. REV. 1137, pp. 1145–46; Voir aussi N. BILTON, « Disruptions: Indiscreet Photos, Glimpsed Then Gone », (6 mai 2012, 5:24 pm),

(17)

malveillants41_{. Les smartphones ou autres appareils intelligents, omniprésents, permettent aux utilisateurs}

de fournir des informations sur eux-mêmes mais aussi sur les autres à longueur de temps42_{, de sorte que les}

individus ont actuellement de moins en moins de possibilités d’esquiver les médias sociaux puisque que d'autres les emportent avec eux43_{. Il y a très peu de situations sociales modernes dans lesquelles vous vous}

retrouvez dans une pièce et que personne autour de vous ne dispose d’un appareil intégrant un GPS ou des fonctionnalités vocales. S'engager avec les médias sociaux n'est donc plus un choix purement individuel mais un résultat inévitable dans presque toutes les situations sociales. Les informations de localisation sont un exemple particulièrement pertinent de la façon dont les données d'une personne peuvent en affecter d’autres. Les téléphones cellulaires suivent l'emplacement des individus avec précision et par procuration les emplacements de leurs proches44_{. La connaissance de l'endroit où se trouve une personne, augmentée}

par la connaissance de son réseau social, peut aider à identifier et à localiser ceux qui se trouvent régulièrement à proximité de cette personne45_{. Ceci est d’autant plus préoccupant que les utilisateurs}

acceptent un ensemble extrêmement invasif de conditions de licence d’utilisation finale régissant leur utilisation des smartphones. Ces contrats de smartphone sont compris et interprétés comme des accords strictement passés entre le consommateur et le transporteur, le concepteur du système d'exploitation, le fabricant ou le fournisseur d'application. Les données divulguées dans le cadre de ces accords ont cependant un impact sur les tiers qui n'ont pas leur mot à dire. Les listes de contacts et les calendriers personnels des utilisateurs sont régulièrement intégrés aux applications mobiles46_{. Les conversations électroniques des}

utilisateurs avec des tiers non consentants sont analysées par leurs services de messagerie47_{. Toutes ces}

fonctionnalités empiètent sur la vie privée des tiers qui n’ont pas la possibilité de s’opposer à l’exploitation des données collectées à leur insu.

On constate également de plus en plus une interdépendance de ces données (spécifiquement dans le cas du génome humain). Par consentement, un individu autorisant la collecte ou le traitement de ses données personnelles empièterait alors sur le droit à la vie privée d’autres individus notamment de ses proches en raison de la nature même de la donnée. Les dérives issues du commerce de données extraites des tests génétiques récréatifs commercialisés à bas coûts sur Internet en sont un exemple flagrant48_{. En}

41_{C. SHU, « Confirmed: Snapchat Hack Not A Hoax, 4.6M Usernames And Numbers Published », Techcrunch, (31}

Décembre 2013)

42_{Th. H. CHIA, « Fighting the Smartphone Patent War with Rand-Encumbered Patents », (2012), 27 BERKELEY}

TECH. L.J. 209, p. 231

43_{P. SWIRE, « Social Networks, Privacy, and Freedom of Association: Data Protection vs. Data Empowerment »,}

(2012), 90 N.C. L. REV. 1371, pp. 1381–82

44_{T. J. LAU, « Towards Zero Net Presence », (2011), 25 NOTRE DAME J.L. ETHICS & PUB. POL’Y 237, p. 245} 45_{J. RISEN, L. POITRAS, « NSA Gathers Data on Social Connections of U.S. Citizens », N.Y Times, (28 Septembre}

2013)

46_{G. A. FOWLER, « Secrets You Share Online Aren’t Always So Secret », Wall Street Journal, (25 Février 2014),} 47_{E. MOGLEN, « Snowden and the Future: Part III; The Union, May It Be Preserved », (13 Novembre 2013),}

Columbia Law School

48_{Catherine Bourgain, sociologue, généticienne, directrice du Cermes3 (unité Inserm 988, Villejuif) et membre du}

comité d’éthique de l’Inserm nous rapporte qu’ « outre les résultats d’analyse et les réponses aux questionnaires,

certaines entreprises conservent les échantillons de leurs clients et suivent leurs déplacements par téléphone ou leur navigation sur Internet. Elles constituent ainsi d’immenses bases de données génétiques, qui intéressent les laboratoires pharmaceutiques : les autorisations de mise sur le marché de médicaments sont de plus en plus conditionnées à la réalisation d’un test génétique, notamment pour déterminer pour quels groupes de patients les thérapies sont les plus efficaces. »: C. BOURGAIN, « Tests génétiques récréatifs: Juste un jeu? », INSERM, (21 Février 2019)

(18)

2017, la CNIL publiait son premier « Point CNIL : Les données génétiques »49_{, où elle indiquait : « les}

données génétiques présentent aussi la particularité d’être non seulement personnelles mais aussi pluripersonnelles car transmissibles et partagées. »50_{. En effet, les données génétiques sont liées à l}_’ADN

de son porteur et permettent de le distinguer parmi tous les autres êtres humains, mais elles sont également partagées pour partie par plusieurs personnes51_{. En termes de santé, un test qui révèlerait une anomalie}

génétique et le risque de maladie associée pour une personne, pourrait donner des indications sur les risques pesant sur les parents, enfants et proches de cette même personne. Or, il n’est pas demandé le consentement exprès à la collecte desdites données auprès de l’entourage familial du « consommateur » de ces tests génétiques récréatifs au moment de l’achat alors que ces données les concernent tout autant. Le cadre juridique de protection fondé sur le consentement est, en conséquence, devenu désuet face aux avancées technologiques et à la nature actuelle de ces données. Ainsi, quel cadre protecteur de la vie privée des personnes physiques, particulièrement vulnérables à l’ère numérique, pourrions-nous envisager comme alternative ?

II. PROBLÉMATISATION DE L’ÉTUDE

Cette partie explore la nécessité pour les décideurs politiques de s'engager pleinement dans le débat de la vie privée, et par extension de la donnée, et sa possible qualification de bien collectif (A) pour ainsi établir la nécessité d’une gestion elle-même collective des droits au travers d’un outil innovant et porteur de sens: la fiducie de données (B).

A. La vie privée comme bien collectif

Nos objectifs spécifiques dans cette partie sont de discuter du surinvestissement de la théorie de la vie privée dans les théories centrées sur l’individu (1) ; et démontrer les lacunes qui en résultent dans la littérature juridique sur le thème des données en tant que bien collectif au sens de la littérature économique (2).

1. Le biais individualiste de la vie privée

Alors que la réalité du partage et de l'analyse des données a changé, la théorie de la vie privée a pris du retard. Les théoriciens de la vie privée diffèrent notoirement et largement sur la conception appropriée de la vie privée52_{, mais ces nombreuses théories ont tendance à partager une hypothèse théorique}

sous-jacente. La plupart des théories dominantes de la vie privée le voient à travers la lentille de

49_{Rapport CNIL, Point CNIL: Les données génétiques, La documentation française, 2017} 50_Ibid.

51_{L’ADN d’un individu est construit à partir de l’ADN de ses parents, ainsi, plus on est proche dans l’arbre}

généalogique d’une personne, plus nos ADN sont proches. C’est sur cette base que des services comme Ancestry ou 23andMe promettent de retrouver les origines de leurs clients.

(19)

l’individualisme53_{. Ces théories peuvent toucher à la dimension sociale de la vie privée}54_{, mais ils}

n'engagent pas fortement le dilemme social de la vie privée.

a. L’influence historique de l’individualisme dans l’avis et le choix moderne

Le droit traditionnel à la vie privée envisage le contrôle d'un individu sur les informations qui proviennent de ou portent sur cet individu. Les approches modernes de la vie privée ont développé et intensifié l'accent mis sur la notification individuelle, le choix et le contrôle des flux d’informations55_{. Il}

s’agit du fameux modèle du « notice and consent » populaire aux USA et au Canada. Par exemple, la vie privée en tant que contrôle est devenue une théorie dominante de la vie privée informationnelle, en partie parce qu'elle promet aux individus (à tort ou à raison) la possibilité de divulguer et de contrôler la diffusion d’informations en ligne56_{. Bien que la vie privée en tant que contrôle ne soit pas une approche incurablement}

centrée sur l'individu, le développement ultérieur de la théorie et, surtout, son régime opératoire de notification et de choix démontrent la dominance de l'individualisme dans le droit moderne de la vie privée57_{. L'avis et le choix dépendent entièrement et explicitement des individus. Ces régimes tentent de}

faire en sorte que les individus sachent ce qui est fait de leurs informations et aient le choix quant à la manière dont ces données sont utilisées ou si elles sont utilisées. Même les critiques de l'avis et du choix tendent à adhérer au paradigme individuel, plutôt qu'à remettre en cause l'hypothèse de base de l'individualité.

La réponse traditionnelle aux défauts des régimes de notification et de choix a été que la notification et le choix ne sont pas encore suffisamment solides58_{. La critique courante est que les}

consommateurs ne sont pas suffisamment informés de ce qui est fait de leurs informations et qu'ils ne disposent pas de suffisamment de pouvoir discrétionnaire pour contrôler leur vie privée. Une solution standard consiste à faire valoir que la qualité de l'avis et du choix doit s'améliorer. Pour y parvenir, les conditions d'utilisation et les accords de licence d'utilisateur final sont de plus en plus explicites à la demande des tribunaux et des régulateurs. L'accent mis sur la compréhension et le contrôle est censé permettre au consommateur de comprendre les conséquences de sa révélation d'informations sur lui-même et de contrôler les informations qu'il propose sur lui-même59_{. À son tour, la tendance réglementaire en}

matière de protection de la vie privée dès la conception (« Privacy by design ») vise à inciter les entreprises à créer des outils permettant une compréhension et un contrôle individuel60_{. Cela ne sous-entend pas que}

53_{R. C. POST, « The Social Foundations of Privacy: Community and Self in the Common Law Tort », (1989), 77}

CALIF. L. REV. 957, p. 958

54_{P. M. SCHWARTZ, « Privacy and Democracy in Cyberspace », (1999), 52 VAND. L. REV. 1609, p. 1664} 55_{P. M. REGAN, Legislating privacy: technology, social values and public policy 228, p. 231 (1995)}

56_{M. MACCARTHY, « New Directions in Privacy: Disclosure, Unfairness and Externalities », (2011), 6 I/S: J.L. &}

POL’Y FOR INFO. SOC’Y 425, p. 429

57_{REGAN, Legislating privacy: technology, social values and public policy 228, op. cit.}

58_{J. SOVERN, « Opting in, Opting out, or No Options at All: The Fight for Control of Personal Information », (1999),}

74 WASH. L. REV. 1033, p. 1094

59_{K. A. BAMBERGER, D. K. MULLIGAN, « Privacy on the Books and on the Ground », (2011), 63 STAN. L. REV.}

247, p. 301–02

60_{A. CAVOUKIAN, INFO. & PRIVACY COMM’R OF ONTARIO, PRIVACY BY DESIGN: THE 7 FOUNDATIONAL}

(20)

l'avis et le choix ne sont pas utiles, mais simplement que l'éducation et l'autonomisation axées sur l'individu semblent donner des rendements décroissants61_{. Comme vu précédemment les consommateurs ne lisent pas}

assez rationnellement les politiques de confidentialité soigneusement formulées62_{. Même s'ils l'ont fait, les}

audits produits par les entreprises en réponse aux incitations à la protection de la vie privée dès la conception sont souvent mis de côté en raison des coûts, du temps que cela nécessite ou de la complexité63_.

Même si l'avis et le choix individualisés fonctionnaient comme souhaité - et ce n'est pas le cas - il y aurait toujours un problème. L'approche individuelle et du choix de la vie privée suppose à tort que la personne est l'unité prédominante dans la conversation sur la vie privée, et donc que chaque personne peut et doit gérer les informations uniquement sur elle-même64_{. C'est un oubli}65_{. En consentant à la collecte}

d'informations, un utilisateur devient un canal de collecte d'informations sur l'ensemble de son réseau social, qu'il ait ou non consenti puisque les données sont en effet interconnectées et/ou interdépendantes.

Même si les régulateurs réussissaient à donner un sens au consentement individualisé à la collecte de données, ils manqueraient l'essentiel. Les consommateurs éduqués et responsabilisés n’ont toujours pas leur mot à dire, car même s'ils sont parfaitement informés et responsabilisés, ils ne contrôlent que leurs propres données et ne peuvent pas influer sur la montagne d'informations à partir desquelles les algorithmes de Big Data fonctionnent66_{. Il serait insouciant de dire qu’un individu qui n'aime pas un réseau social, n'a}

pas besoin de l’utiliser67_{. Parce que tant que des informations sont fournies par des tiers, personne ne peut}

vraiment s’en écarter. Si une personne ne fait pas elle-même partie du réseau, elle peut abandonner son avantage individuel, tout en supportant (la majeure partie du temps) son coût individuel68_.

b. L’individualisme dans le discours transatlantique de la vie privée

Le parti pris de l’individualisme traverse également les principales divisions culturelles et juridiques du droit à la vie privée. Par exemple, les approches de la vie privée semblent à première vue rougir différemment de chaque côté de l’Atlantique69_{. Si l’Amérique du Nord se concentrent sur la liberté}70_,

l'Union européenne, elle, se concentre sur la dignité humaine71_{. Pourtant, les deux philosophies considèrent}

la vie privée comme une question qu'il est préférable de résoudre en informant et en responsabilisant les

61_{SOLOVE, « Conceptualizing Privacy », op. cit.}

62_{D. J. SOLOVE, W. HARTZOG, « The FTC and the New Common Law of Privacy », (2014), 114 COLUM. L. REV.}

583, pp. 667

63_{E. PROTALINSKI, « Survey: Facebook, Google Privacy Policies Are Incomprehensible », ZDNet (May 4, 2012)} 64_{BAMBERGER, MULLIGAN, « Privacy on the Books and on the Ground », op. cit.}

65_{MACCARTHY, « New Directions in Privacy: Disclosure, Unfairness and Externalities », op. cit.} 66_Ibid.

67_{SOLOVE, « Conceptualizing Privacy », op. cit.}

68_{J. A.T. FAIRFIELD, Ch. ENGEL, « Privacy as a Public Good », (2015), 65:3 DUKE LAW REVIEW 38}

69_{J. Q. WHITMAN, « The Two Western Cultures of Privacy: Dignity Versus Liberty », (2004), 113 YALE L.J. 1151,}

p. 1167

70_{Ibid, pp. 1158} 71_{Ibid, pp. 1161}

(21)

individus72_{. En Europe comme en Amérique du Nord, l’objectif présumé est d’informer les individus sur le}

consentement à l'utilisation de leurs données personnelles. Néanmoins, le problème demeure : les données n'ont pas d'incidence sur cette personne seule.

La fracture atlantique dans la théorie de la vie privée masque donc une similitude sous-jacente73_.

Dans les deux ordres juridiques, les individus consentent à l'utilisation de données ayant un impact sur des tiers non consentants74_{. Les approches de la liberté et de la dignité se concentrent sur l'autonomisation et}

l'information des individus, plutôt que sur l'amélioration de la coordination de groupe75_{. Les lois}

américaines, canadiennes et européennes diffèrent selon que les individus doivent accepter ou refuser la collecte et le traitement des données. Elles diffèrent sur la portée et le moment du consentement de la personne. Elles diffèrent sur les pouvoirs qu'une personne peut exercer - si une personne peut exiger que Google supprime les informations obsolètes la concernant, par exemple76_{. Mais les deux traditions situent}

le problème et sa solution autour de l'individu décidant de manière isolée - l'individu doit accepter ou refuser77_{. L'individu doit consentir à des utilisations hors contexte. C’est en effet le cas puisqu’il devra}

poursuivre la suppression des données qui le concernent aux différentes phases de la vie de cette donnée. En Amérique du Nord et en Europe, la loi fournit des outils pour aider les individus à comprendre et contrôler les informations qui les concernent directement. Les deux traditions manquent cependant d'outils qui aident des groupes d'individus à gérer les problèmes de coordination. Et les deux traditions ont peu ou pas de protection contre les effets ricochets de l'information - des informations sur la personne A qui imposent néanmoins des effets négatifs à la personne B et à tout le monde78_.

La discussion ci-dessus tente de souligner le sérieux parti pris en faveur de la conceptualisation de la vie privée en termes d'informations individuelles, de droits et d’actions. Ce parti pris était présent dans les conceptions fondamentales d'un droit légal à la vie privée et se perpétue aujourd’hui. De plus, une comparaison des approches nord-américaine et européenne montre que, malgré toutes leurs différences, les approches de la vie privée en Amérique du Nord et en Europe se concentrent toutes les deux sur l'individualisme - une philosophie est inspirée par le concept de dignité individuelle et l'autre par celui de liberté individuelle. En conséquence, le dilemme social de la vie privée est sous-examiné dans la théorie juridique, comme la sous-partie suivante en discutera.

72_{O. TENE, J. POLONETSKY, « To Track or “Do Not Track”: Advancing Transparency and Individual Control in}

Online Behavioral Advertising », (2012), 13 MINN. J.L. SCI. & TECH. 281, p. 287

73_{WHITMAN, « The Two Western Cultures of Privacy: Dignity Versus Liberty », op. cit.}

74_{TENE, POLONETSKY, « To Track or “Do Not Track”: Advancing Transparency and Individual Control in Online}

Behavioral Advertising », op. cit.

75_{WHITMAN, « The Two Western Cultures of Privacy: Dignity Versus Liberty », op. cit.} 76_{C-131/12, Google Spain SL v. Agencia Española de Protección de Datos, (13 Mai 2014), CJUE}

77_{O. TENE, J. POLONETSKY, « Big Data for All: Privacy and User Control in the Age of Analytics », (2013), 11}

NW. J. TECH. & INTELL. PROP. 239, pp. 260–62

(22)

2. Les conceptions du bien public dans la théorie de la vie privée

Nous discutons ici de deux grands types d'analyse juridique de la dimension sociale de la vie privée. Premièrement, les théoriciens abordent souvent la dimension sociale de la vie privée en généralisant à partir du cas individuel79_{. Par exemple, Alan Westin a décrit la vie privée comme le retrait individuel de}

la société80_{. Dans cette approche, la vie privée sociale est valorisée principalement parce qu'elle garantit la}

vie privée des individus. Pour autant, une littérature florissante81_{aborde l’analyse de la vie privée au travers}

de la notion du bien public, allant même parfois jusqu’à la concevoir comme un bien collectif82_.

a. La vie privée dans le bien public

Le premier groupe d'analyses juridiques affirme que la vie privée est dans « le bien public ». Cela peut être difficile à distinguer des affirmations selon lesquelles la vie privée est « un bien public » au sens d’un bien collectif (« public good »)83_{. Ces termes appartiennent à différentes disciplines. Lorsqu'un avocat}

parle du « bien public » et qu'un économiste explore « un bien collectif (‘public good’) », ils parlent probablement de deux choses très différentes. Le bien public désigne ce qui est bon pour le public. Un bien public désigne un bien, un produit, qui est créé par des groupes dans certaines conditions et issu d’une tension entre l'égoïsme et la coopération84_{. La notion de bien collectif est empruntée à l’économie publique.}

Elle vise initialement à identifier les situations dans lesquelles le marché se trouve pris en défaut et se révèle incapable de produire certains biens en raison de leurs propriétés spécifiques. Le questionnement a cependant des implications politologiques fondamentales pour comprendre les rapports entre l’État et le marché, entre intérêt privé et intérêt public, et, plus généralement, pour analyser les conditions de la coopération et de la coordination, en particulier entre les acteurs des politiques publiques. Le terme

79_{REGAN, Legislating privacy: technology, social values and public policy 228, op. cit.} 80_{Ibid, pp. 27-28}

81_{S. G. VERHULST, "Leveraging Private Data for Public Good. A Descriptive Analysis and Typology of Existing}

Practices », (2019), Govlab,. En ligne: https://thelivinglib.org/leveraging-private-data-for-public-good-a-descriptive-analysis-and-typology-of-existing-practices/ ; P. M. REGAN, « Privacy as a Common Good in the Digital World », (2002), 5:3 INFORMATION, COMMUNICATION AND SOCIETY 382 ; A. ALLEN, « Protecting One's Own Privacy in a Big Data Economy », (2016), 130:71 HARVARD LAW REVIEW FORUM 71 ; Joshua A.T. FAIRFIELD, Ch. ENGEL, « Privacy as a Public Good », (2015), 65:3 DUKE LAW REVIEW 38 ; P. M. REGAN, « Response to Privacy as a public good », (2016), 65 DUKE LAW REVIEW 51 ; M. MAZZUCATO, « Let’s make private data into public good », (27 juin 2018), MIT TECHNOLOGY REVIEW. En ligne: https://www.technologyreview.com/s/611489/lets-make-private-data-into-a-public-good/ ; J. LANE, H. NISSENBAUM, V. STODDEN, S. BENDER (éd.), Privacy, Big

Data, and the Public Good, (2016), CAMBRIDGE UNIVERSITY PRESS; J. E. COHEN, Turning Privacy Inside Out

(April 12, 2018). etc…

82_{En français « public goods » est traduit par « biens publics » mais « cette traduction est maladroite car elle}

caractérise non la nature du bien mais son mode de mise à disposition : une institution publique. Il est préférable d’employer l’expression « biens collectifs », qui ne préjuge pas du mode de production ou de gestion de ces biens, qui peut être public, communautaire ou même privé dans certaines circonstances »: O. GODARD, « La pensée

économique face à la question de l’environnement », (2004), Cahiers du laboratoire d’économétrie de l’Ecole

polytechnique, n° 2004-025 http://ceco.polytechnique.fr/fichiers/ceco/publications/pdf/2004-12-17-194.pdf.

83_{A noter que dans ce a. la notion de « bien public » est entendue au sens de « bien collectif ». Nous ne faisons pas de}

distinction à ce stade entre les deux sous catégories de biens collectifs à savoir les biens publics purs et les biens communs.

84_{J. O. LEDYARD, « Public Goods: A Survey of Experimental Research », (1995), THE HANDBOOK OF}