M.A. Frison-Roche : « Health Data Hub est un coup de maitre du Conseil d’Etat ! »
Le fait de confier le traitement des données de santé à la société de droit américain Microsoft dans le cadre de la plateforme destinée à lutter contre le Covid-19 Health Data Hub ne constitue pas une atteinte une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles justifiant la suspension de la plateforme. Ainsi en a jugé le Conseil d’Etat dans son ordonnance de référé du 13 octobre 2020. Cette décision est beaucoup plus intéressante qu’il n’y parait. Les explications de Marie-Anne Frison-Roche, professeur de droit de la régulation et de la compliance.
Actu-Juridique : Le fait que le Conseil d’Etat ne suspende par la plateforme Health Data Hub le 13 octobre dernier a déçu certains qui auraient aimé une décision plus radicale, compte tenu de l’importance des enjeux. Qu’en pensez-vous ?
Marie-Anne Frison-Roche : C’est une lecture trop rapide de l’ordonnance. Une lecture attentive montre que cette ordonnance constitue un coup de maitre en termes de régulation et de compliance. Qu’espéraient les demandeurs ? Que l’on suspende la plateforme afin de mieux protéger notre vie privée ; que se seraient exclamés plus tard ceux qui veulent que l’on trouve un vaccin et qu’on limite la propagation du virus ? Que c’est bien à cause des juges et d’une réglementation à courte vue que l’on n’a pas pu agir vite et bien, bloqués par l’Europe alors que que technologie pouvait nous sauver …. Le Conseil d’Etat ne pouvait ni sacrifier la protection des données personnelles, ni prendre le risque de retarder la mise en œuvre d’un outil de lutte contre la pandémie. Il a opéré ce tour de force d’obtenir en cours de procédure les avancées qui ont permis d’éviter ces deux écueils. En semblant ne donner satisfaction à personne, il a pleinement rempli sa mission de prendre soin de l’intérêt public, en protégeant chacun.
Actu-Juridique : Comment a-t-il procédé pour, le temps d’un référé, rendre le projet acceptable au regard de cette double préoccupation ?
MAFR : D’abord, il a contraint les parties à signer dans les quinze jours à compter de la notification de la décision, un nouvel avenant aux documents contractuels précisant que c’est la loi française qui est applicable. Autrement dit, il a obligé Microsoft à se placer sous la loi française ! Il a d’ailleurs souligné que Microsolft lorsqu’il affirme dans le contrat vouloir pleinement respecter le droit, affirmation caractéristique des engagements de compliance, ne peut se référer qu’au droit de l’Union européenne et non pas au Droit américain. Le document contractuel ainsi enrichi, c’est-à-dire en réalité la main des parties tenue par la main ferme du juge, devra être communiqué au secrétariat du contentieux du Conseil d’Etat.
Par ailleurs, il a incité le gouvernement durant la procédure à s’engager à trouver un opérateur européen pour gérer cette plateforme, qui constitue une infrastructure essentielle. La juridiction, en internalisant ces obligations dans le contrat, contribue donc en matière de santé à construire une Europe souveraine par le droit de la régulation et de la compliance, en posant une pierre supplémentaire qui vient compléter le RGPD. C’est la même démarche que celle qui, il y a vingt ans, a conduit le Droit financier, à implanter en Europe les infrastructures financières. A l’époque, des voix d’autorité, comme celle de Jean-Pierre Jouyet, d’abord secrétaire d’Etat aux Affaires européennes puis président de l’Autorité des marchés financiers, ont facilité l’émergence d’Euronext, qui gère aujourd’hui la plupart des places de marchés financiers. Comme d’habitude la régulation bancaire et financière est en avance et constitue un modèle à suivre pour un Droit européen de la compliance, lié à l’émergence de l’Europe souveraine, ici en perpective pour la santé.
Actu-Juridique : En quoi est-ce particulièrement exemplaire au regard du droit de la régulation et de la compliance ?
MAFR : Le juge n’est pas toujours le plus efficace en matière numérique, car il intervient si tard… Lorsqu’il décide ex post, une fois la violation constatée, par exemple le transfert de données sensibles vers les Etats-Unis opéré ; que faire ? Le droit de la régulation a pour prétention de construire un espace, ici de bâtir l’espace numérique ; le droit de la compliance est son prolongement, puisqu’il insère cette « prétention » dans les opérateurs eux-mêmes, ici par exemple dans le contrat conclu entre le GIP de la plateforme et l’entreprise qui fait fonctionner celle-ci. Pour obtenir que tout à la fois il y ait cette centralisation des données dont nous avons tous besoin pour être sanitairement protégés dans le futur, sans pour autant être dépossédés de notre vie privée.
Les droits de la régulation et de la compliance sont des branches de droit téléologiques, dont les normes se situent dans les finalités. Dans son Ordonnance du 13 octobre 2020, que le Conseil d’Etat présente sur son site non par le nom des parties mais pour son objet, Heath Data Hub, le Conseil profite de sa position de juge des référés pour agir immédiatement et intervenir sur le futur. Dans un continuum entre ex ante et ex post, il ne punit personne et n’annule rien. Il obtient de nouveaux textes et de nouveaux engagements contractuels. Il le fait en quelques jours en prenant comme première et suffisante référence non pas le droit français, non pas même le RGPD, mais l’arrêt Schrems 2 de la Cour de Justice de l’Union européenne. Car c’est bien ce juge-là qui est en train de construire par le droit de la compliance l’Europe souveraine des données, sur laquelle se joue notre avenir
Un commentaire approfondi de l’ordonnance du 13 octobre par le professeur Marie-Anne Frison-Roche est accessible ici
Référence : AJU75204