Art. 298.
La chaire Jean Monnet de l’Université Toulouse 1 Capitole, « Droit européen de la santé et des produits de santé » (Desaps) de notre collègue Nathalie De Grove Valdeyron vient de mettre en ligne un 2e très beau bulletin collectif consacré au COVID-19 et sa gestion par l’Union européenne (après un extrait du premier visible ici).
Pour soutenir et partager cette très belle initiative, le Journal du Droit Administratif vous en propose ci-dessous trois extraits et vous engage à lire ledit bulletin en totalité en cliquant ci-après :
https://ceec.ut-capitole.fr/bulletin-desaps-edition-speciale-2-covid-19-858659.kjsp?RH=1512484968181
1. Libres propos : la pénurie en équipements médicaux de première nécessité et en médicaments : que fait l’Union européenne ?
S’il est une question qui revient de façon systématique dans les médias, c’est bien celle de la pénurie en équipement médicaux de première nécessité, notamment en masques, en France mais aussi plus largement dans toute l’Union. De quelle marge de manœuvre l’Union européenne dispose-t-elle en ce domaine ? Son action est-elle plus efficace que celle des États pris individuellement ? En d’autres termes apporte-t-elle une véritable « valeur ajoutée » ? Plus largement la compétence attribuée à l’Union européenne par le traité est-elle suffisante pour faire face à de véritables enjeux communs de sécurité en matière de santé[1] ?
Depuis le traité de Maastricht, rappelons-le, l’Union européenne s’est vu reconnaître une compétence en matière de santé publique qui est, pour l’essentiel, une compétence d’appui par laquelle « elle contribueà assurer un niveau élevé de protection de la santé humaine en encourageant la coopération entre les États membres et si nécessaire en appuyant leur action ». « Cette action comprend également la lutte contre les grands fléaux, en favorisant la recherche sur leurs causes, leur transmission et leur prévention […] ainsi que la surveillance de menaces transfrontières graves sur la santé, l’alerte en cas de telles menaces et la lutte contre celles-ci ».
Afin de faire face à de telles menaces pour la santé, ce qui est le cas du virus SARS-CoV-2, à l’origine de la maladie COVID-19, la décision n°1082/2013 du 22 octobre 2013 préconise une « approche globale et concertée des États membres ». Des mesures prises individuellement par un État membre pourraient en effet porter préjudice aux intérêts d’autres États membres, si elles ne s’avèrent pas cohérentes entre elles, ou si elles sont fondées sur des évaluations des risques divergentes. C’est ainsi un des dispositifs mis en place par cette décision, à la suite de la pandémie de grippe aviaire H1N1, qui a été utilisé dès février 2020 pour faciliter l’achat de contre-mesures médicales. La procédure conjointe de passation de marchés[2] permet non seulement de faire bénéficier les États, qui y participent sur une base volontaire, d’achats groupés afin d’obtenir pour un produit donné (vaccins, masques etc..) des tarifs avantageux, mais aussi, de bénéficier de plus de souplesse pour les commandes. Pourtant, la procédure reste (trop) longue dans un contexte d’urgence sanitaire : un peu plus d’un mois pour la mettre en œuvre auquel il faut ajouter le délai lié à la livraison (15 jours). Face à une épidémie qui se propage de façon fulgurante ce dispositif est apparu insuffisant et on ne s’étonnera pas que les médias aient relayé les difficultés rencontrées par certains États, dont la France, contraints de se procurer des masques en Chine (principal producteur), en dehors de ce cadre, et à des coûts exorbitants dans un contexte de pénurie généralisée et de quasi- monopole.
Autre moyen actionné : le mécanisme de protection civile[3] créé par la décision n°1313/2013/UE du Parlement européen et du Conseil du 17 décembre 2013. Avec ici aussi un constat : l’inexistence d’une réserve européenne portant sur des fournitures médicales essentielles. Une nouvelle réserve RescUE[4] pour la constitution d’un arsenal de contre-mesures médicales, d’équipements médicaux de soins intensifs et d’équipements de protection individuelle a donc été créée, dans l’urgence, par la décision (UE) 2020/414 de la Commission du 19 mars 2020. Ce dispositif (qui doit encore être approuvé d’un point de vue budgétaire) pourra aussi être utilisé plus largement après la crise pour venir en aide aux systèmes de santé des États, aujourd’hui durement éprouvés. Aussi intéressante et indispensable soit-elle, cette réserve RescUE spécifique arrive un peu trop tardivement pour le COVID-19, même si la crise risque vraisemblablement de se prolonger pendant plusieurs mois encore.
Faute de réserve européenne mobilisable, l’Union va donc tenter de gérer les stocks pour retarder l’état de pénurie et coordonner l’action des États en appelant à la solidarité.
Solidarité pour rappeler aux États tout d’abord, dans le cadre de « lignes directrices » qui leur ont été adressées par la Commission dès le 16 mars 2020, que toute mesure de contrôle aux frontières[5] prise au nom de la santé publique, aussi légitime qu’elle soit face à une maladie contagieuse, se doit de respecter le droit de l’Union et notamment de répondre à l’exigence de proportionnalité, qui doit elle-même s’apprécier dans ce contexte de pénurie. Toute mesure prise par un État, telle une interdiction d’exportation de fournitures médicales, peut porter gravement atteinte à la gestion de la crise par un autre État en ralentissant l’arrivée de biens médicaux essentiels. Les règles du marché unique doivent donc être respectées et favoriser la libre circulation des équipements essentiels[6]. Dans cette même logique liée à la situation d’urgence sanitaire, pour pouvoir faire face à une demande vitale dans l’Union, alors que la production et les stocks sont insuffisants, la décision d’exécution n°2020/402 de la Commission du 14 mars 2020 soumet à autorisation, à titre temporaire, les exportations de biens essentiels à destination des pays tiers.
Adaptation de la réglementation ensuite, qui se traduit par différentes communications comportant à nouveau des recommandations à l’attention des États. Ainsi, s’agissant des équipements de protection individuelle qui peuvent relever, en fonction de leurs caractéristiques propres, de différents instruments juridiques[7], la Commission accorde aux États la possibilité d’autoriser la mise à disposition des produits concernés sur le marché de l’Union, pendant une période limitée, même s’ils ne sont pas marqués CE, pour autant qu’ils garantissent un niveau adéquat de santé et de sécurité. Le recours à des solutions techniques autres que celles des normes harmonisées est admis à condition, ici encore, que ces solutions « garantissent un niveau adéquat de protection correspondant aux exigences essentielles de santé et de sécurité applicables énoncées dans le règlement ». Le risque de falsification est augmenté dans un contexte de pénurie mais, tout en en étant consciente et en mobilisant des moyens de lutte contre ce risque, la Commission invite cependant les autorités nationales de surveillance à se concentrer, lors des contrôles mis en œuvre, sur les risques graves pour la santé et la sécurité des utilisateurs auxquels les équipements sont destinés. Ces différentes mesures[8], présentées expressément comme temporaires, laissent une plus grande marge de manœuvre aux États au sein desquels les organismes notifiés veillent à la conformité aux exigences essentielles précitées. Elles répondent en définitive à un seul objectif réaliste : fournir la population (en masques notamment) même si les équipements visés ne répondent pas exactement aux normes européennes en termes de qualité et de sécurité mais à des normes jugées équivalentes et dont l’appréciation revient in fine aux États.
Le CEN (Comité européen de normalisation) a aussi, à titre tout-à-fait exceptionnel, et dans un élan de solidarité, accepté de communiquer gratuitement aux fabricants (européens et provenant de pays tiers), 11 normes européennes à respecter pour pouvoir fabriquer et introduire plus facilement sur le marché les équipements médicaux de première nécessité. Il s’agit ici de faciliter la reconversion de chaîne de production pour la fabrication de biens d’équipement essentiels (masques, écrans faciaux respirateurs etc..). Ces normes sont disponibles en France et téléchargeables sur le site de l’AFNOR.
S’agissant enfin plus particulièrement des médicaments, qui font depuis 1965 l’objet d’une règlementation européenne pour en favoriser la libre circulation dans le respect de la protection de la santé publique, la Commission européenne, en étroite coopération avec l’Agence européenne des médicaments (EMA), collecte en continu des données afin de surveiller, d’évaluer et d’anticiper les pénuries à l’échelle de l’Union européenne, notamment en milieu hospitalier. Certains traitements utilisés par les malades hospitalisés en réanimation font en effet l’objet d’une demande très forte et pourraient se traduire, sans surveillance précise, par une pénurie de traitements pour des malades souffrant d’autres pathologies ou en soins palliatifs (manque de curare notamment). Un « Groupe de pilotage UE » opérationnel dédié aux ruptures de médicaments causées par des événements majeurs a ainsi été créé. Sur le plan pratique, en complément des instruments existants, l’EMA organise un échange régulier avec les États membres (par le biais des laboratoires), pour collecter les informations sur les pénuries actuelles ou attendues de médicaments utilisés en soins intensifs, dans le cadre d’un nouveau réseau de points de contact unique (« i SPOC») mis en place par le groupe de pilotage. L’association européenne des laboratoires princeps (EFPIA) et des laboratoires génériques (Medicines for Europe) se concertent aussi régulièrement afin de prévenir d’éventuelles pénuries.
La constitution de stock à laquelle les États ou les citoyens pourraient être tentés de se livrer peut mettre en péril l’approvisionnement de tous les États d’où, là aussi, des recommandations adressées par la Commission afin, par exemple, de limiter la dispensation d’antalgiques livrés sans ordonnance tel que le paracétamol.
Toujours dans un rôle d’appui aux États pour faire face à la crise, il est apparu souhaitable que des aides puissent être accordées pour accélérer le développement et la mise sur le marché des médicaments, ou plus largement investir en faveur de la fabrication de produits liés au COVID -19 sans que ces aides soient condamnées en tant qu’aides d’État conformément à la règlementation européenne. A cet effet, la Commission a proposé, dans une communication (2020/C 91 I/01) du 20 mars 2020, des encadrements temporaires de telles mesures[9]. De même et parallèlement, des assouplissements ont été prévus dans une autre communication en ce qui concerne les pratiques anticoncurrentielles[10] (2020/C 116 I/02 du 8 avril 2020). Il s’agit ici notamment de permettre une coopération entre producteurs pharmaceutiques (de médicaments génériques) afin d’éviter une pénurie de médicaments hospitaliers critiques.
Comme on le voit à travers ce rapide tour d’horizon des principales actions prises pour faire face à la pénurie, l’Union européenne a pris la mesure de la crise exceptionnelle qui frappe tous les États membres et tente d’y répondre de manière pragmatique, en utilisant sa compétence d’appui pour être aux côtés des États tout en associant l’ensemble des parties prenantes, mais au prix d’un manque de visibilité de son action aux yeux du citoyen européen.
Il convient aussi de s’interroger sur la façon dont les États mettront en œuvre les diverses recommandations qui leur sont faites. Quel poids accorder à de simples « lignes directrices » dans un contexte de résurgence de comportement de repli sur soi face à la pandémie. La solidarité européenne à laquelle la Commission exhorte les États semble la seule réponse, et elle s’exprime encore mieux, il faut l’admettre hélas, quand chacun y trouve son intérêt. Il semble que ce soit le cas en ce qui concerne la libre circulation de produits médicaux essentiels qui doivent arriver aux populations et dans les zones qui en ont le plus besoin.
Mais ne faudrait-il pas aller plus loin et renforcer la planification en matière de santé pour rendre l’Union plus réactive face à des menaces graves pour la santé qui mettent en jeu les intérêts essentiels des États membres ? Ne faudrait-il pas, comme pour les crises antérieures (sang contaminé, vache folle, médiator), tirer les conséquences de la crise du COVID-19 afin de garantir dans toute l’Union un approvisionnement sécurisé en médicaments et en dispositifs médicaux en cas de menace sanitaire grave pour la santé voire même, plus largement, en dehors de toute menace pour que l’Union retrouve une capacité de production et une auto-suffisance dans ces domaines essentiels ? La question de l’ajout d’une nouvelle compétence partagée relevant d’un article 168 §4 d) au titre des enjeux commun de sécurité en matière de santé au sens de l’article 4§2 point k du TFUE se pose aujourd’hui de façon incontournable.
Le 25 avril 2020.
[1] Voir aussi, Nathalie De Grove-Valdeyron, La gestion sanitaire de la crise du Covid-19 par l’Union européenne, Revue de l’Union européenne, mai 2020.
[2] Voir commentaire d’Adrien Pech, dans le bulletin Covid 19 n°1 de la Chaire DESAPS
[3] Voir Didier Blanc, « Unis dans l’adversité : la protection civile de l’Union, instrument d’une solidarité éprouvée par le coronavirus », Revue de l’Union européenne, mai 2020.
[4] Voir commentaire de Marianne Farès dans le bulletin Covid-19 n°1 de la Cahier DESAPS
[5] Voir commentaire de Claire Bories dans le bulletin Covid 19 n°1 de la Chaire DESAPS
[6] Voir commentaire de Lucas Sutto dans le bulletin Covid 19 n°1 de la chaire DESAPS
[7] Le règlement 526/2017 du 5 avril 2017 sur les dispositifs médicaux (dont la mise en application a été repoussée d’un an au 26 mai 2021 et donc actuellement de la directive 93/42 CEE du 14 juin 1993) ou encore du règlement 2016/425 sur les équipements de protection individuelle (EPI).
[8] Voir le commentaire de Sarah Bister dans le bulletin COVID 19 n°1 de la chaire DESAPS
[9] Voir le commentaire de Marlène Cépeck dans ce bulletin
[10] Voir le commentaire de Marianne Farès dans ce bulletin
2. L’Union européenne et la coordination du déploiement des applications mobiles de traçage des contacts : une stratégie efficace ?
La pandémie de Covid–19 a conduit de nombreuses autorités à développer des applications mobiles d’échange de données devant permettre aux utilisateurs d’être alertés lorsqu’ils sont rentrés en contact avec une personne contaminée par le virus[1]. Si les technologies de l’information[2] et les outils numériques[3] sont amenés à jouer un rôle de premier plan dans la gestion de cette crise sanitaire sans précédent, les applications mobiles, qui sont développées dans l’urgence, suscitent de nombreuses questions en raison de l’atteinte aux libertés fondamentales que leur usage est susceptible d’occasionner[4] et des failles de sécurité que sous–tend leur fonctionnement[5].
La perspective de la levée du confinement amène les États européens à progressivement se doter de ces applications de traçage et il semble pertinent de se demander si ces dernières ne se présentent pas avant toute chose comme des outils de gestion de la pénurie de tests et de masques plutôt que comme des instruments de gestion de la pandémie. Plusieurs chercheurs relèvent que la voie la plus efficiente de la gestion de cette crise sanitaire, en l’absence de traitement et de vaccin[6], réside dans le développement d’une politique de dépistage à grande échelle des personnes, permettant ainsi leur isolement et l’extinction des épidémies locales[7]. La mise en place de ces applications ne saurait donc se substituer à cette politique et leur efficacité est conditionnée par la possibilité pour les personnes d’être testées massivement à l’extérieur du milieu hospitalier, y compris lorsqu’elles ne présentent aucun symptôme. Mais les doutes que l’on peut nourrir sur la pertinence de l’usage de ces outils ne s’épuise pas dans ce constat dans la mesure où leur efficacité est intrinsèquement liée au nombre de personnes qui pourront et qui accepteront de télécharger l’application et de faire savoir qu’elles sont malades. À cet égard, plusieurs acteurs ont mis en doute l’efficacité de l’application française StopCovid[8]. Selon une étude menée par des chercheurs de l’Université d’Oxford, au moins 60 % de la population devrait utiliser ces outils de traçage des contacts pour qu’ils soient efficaces[9], et l’on peut douter du succès de l’application à l’étude en France en raison, d’une part, de la réticence de certains citoyens à son égard, qui se trouve alimentée par l’absence de communication transparente des autorités nationales et, d’autre part, de la part de la population française ne disposant pas de smartphone[10] et souffrant d’illectronisme[11]. Dans son avis portant sur l’application StopCovid, publié le 24 avril, le Conseil national du numérique a d’ailleurs attiré l’attention des autorités sur la nécessité de fournir des dispositifs d’inclusion numérique, mais la mobilisation des acteurs de terrain dans l’accompagnement des individus éloignés du numérique qu’il préconise ne saurait suffire à résorber les effets de la fracture numérique[12].
En outre, de nombreuses questions liées à l’encadrement du traitement des données collectées et à leur protection restent en suspens et plusieurs acteurs ont mis en évidence les risques que font peser leur utilisation sur la garantie des exigences de l’État de droit[13]. Parmi les multiples problèmes qui doivent être résolus, figurent ceux tenant au consentement des utilisateurs, à la pseudonymisation des données, à l’identification des responsables du traitement, à l’éventail des données collectées et à leur conservation. Dans ce contexte, plusieurs projets ont été lancés par des instituts de recherche afin que puissent être développées des applications efficaces, sécurisées et respectueuses de la protection des données à caractère personnel et de la vie privée. Depuis plusieurs semaines, des chercheurs travaillent sur un projet européen commun PEPP–PT[14], qui s’appuie sur la technologie Bluetooth, et ayant vocation à soutenir les initiatives nationales en définissant des normes d’interopérabilité permettant de tracer des chaînes d’infection à travers différents États. Les applications mobiles de traçage peuvent en effet fonctionner en s’appuyant sur des données Bluetooth ou sur des données de géolocalisation, mais les chercheurs s’accordent à reconnaître que la technologie Bluetooth doit être privilégiée en ce qu’elle garantit une meilleure confidentialité[15] dans la mesure où elle ne révèle pas la position précise des personnes à un instant donné[16]. Ainsi, les travaux de l’équipe de recherche PEPP–PT l’ont conduite à développer un protocole de suivi des contacts, baptisé « ROBERT »[17], instaurant un système fonctionnant par signaux Bluetooth envoyant les pseudonymes des utilisateurs de l’application aux autres utilisateurs se trouvant à proximité. En cas de contamination de l’un des usagers de cette application, celui–ci pourra alors partager les pseudonymes des personnes rencontrées sur une base de données centrale, afin qu’elles puissent être informées qu’elles ont été en contact avec une personne contaminée. Ce protocole, qui devrait être suivi par les autorités françaises dans le cadre de la conception de l’application StopCovid[18], a fait l’objet de vives critiques en raison de son manque de transparence et du caractère centralisé du système, c’est–à–dire du stockage des identifiants éphémères attribués aux utilisateurs sur un serveur central auquel ont accès les autorités sanitaires, et qui comporterait le risque d’entraîner une ré–identification des personnes concernées. Plusieurs instituts européens ont alors décidé de se retirer du projet[19] et un collectif de chercheurs et de scientifiques, issus de 25 pays, ont adopté, le 19 avril dernier, une déclaration commune dans laquelle ils se sont employés à défendre un système de stockage décentralisé des données qui présenterait moins de risques de sécurité que les systèmes centralisés et qui garantirait une meilleure protection de la vie privée[20].
En effet, regrouper toutes les données dans un même endroit est un choix risqué dès lors qu’il est impossible d’assurer l’inviolabilité d’une base de données et la présidente de la CNIL, Marie–Laure Denis, relevait à cet égard que devait être privilégiés « le chiffrement de l’historique des connexions et le stockage des données sur un téléphone, plutôt que de les envoyer systématiquement dans une base centralisée »[21].
Indépendamment de ces considérations techniques, la réussite du déploiement au sein des États européens des applications mobiles de traçage dépend non seulement de leur faculté à augmenter les capacités de dépistage afin que puissent être obtenus des résultats fiables, mais également de la volonté des autorités nationales de développer des outils numériques qui soient pleinement respectueux de la légalité interne et européenne en matière de protection de la vie privée et des données à caractère personnel. Dans ce contexte, l’adoption d’une approche coordonnée se présente comme la voie la plus efficiente d’un usage efficace et protecteur de ces applications mobiles et l’Union européenne a donc décidé d’œuvrer afin que puisse être élaborée une approche commune dans ce domaine. Après avoir analysé le développement de l’approche européenne commune des applications mobiles née de l’action coordonnée de l’Union et des États (I) nous évaluerons dans quelle mesure cette action constitue un levier performant de la garantie des exigences de l’État de droit (II).
I – L’action coordonnée de l’Union et des États membres et l’élaboration d’une approche commune des applications mobiles de traçage des contacts
Tirant parti de la compétence d’appui dont elle dispose, l’Union européenne s’est employée à renforcer la coopération entre les États (A) afin que puisse être définie une approche commune des applications de traçage garantissant leur déploiement efficace et sécurisé (B).
A) La compétence d’appui de l’Union mise au service du renforcement de la coopération des États
Si ne peuvent être harmonisées les conditions d’utilisation des technologies et des données pour lutter contre la crise de Covid–19, compte tenu de l’urgence de la situation et des compétences de l’Union européenne dans le domaine de la santé[22], les institutions peuvent adopter des mesures au soutien d’un renforcement de la coopération entre États, dans le cadre de l’exercice de la compétence d’appui qui leur est dévolue. Comme le souligne Nathalie DeGrove–Valdeyron, « cette compétence, certes seconde, s’avère essentielle et incontournable dès lors, de surcroît, qu’il est fait usage des technologies de l’information et des communications (TIC) et qu’il apparaît nécessaire de transférer des données de santé à l’intérieur d’un État membre – mais aussi par-delà les frontières – et de garantir l’accès et l’échange de ces données de manière sûre et interopérable »[23]. Le développement de l’e–santé, qui « désigne l’application des technologies de l’information et des communications à toute la gamme de fonctions qui interviennent dans le secteur de la santé »[24], est une des priorités de l’Union depuis plusieurs années[25] et se trouve au cœur de la politique européenne de structuration d’un marché unique du numérique[26]. La Commission a d’ailleurs récemment adopté une stratégie pour les données, ayant pour ambition d’instaurer un espace européen unique, et qui prévoit notamment la mise en place, à l’échelle de l’Union, d’un « espace européen commun des données relatives à la santé »[27]. C’est dans ce contexte que la Commission a adopté, le 8 avril dernier, une recommandation définissant un processus qui associe les États en vue de l’élaboration d’une approche commune européenne dans le domaine de l’utilisation d’outils numériques de lutte contre le Covid–19, et notamment des applications mobiles[28]. Cette action s’inscrit dans le cadre de la stratégie européenne commune et coordonnée de sortie de crise et de levée des mesures de confinement, présentée le 15 avril 2020[29], à la suite de l’appel lancé par le Conseil européen dans le cadre d’une déclaration commune du 26 mars 2020[30].
La Commission a relevé, dans sa recommandation du 8 avril, que diverses applications mobiles avaient été ou allaient être mises en place dans les États membres et que l’hétérogénéité des approches nationales était susceptible de nuire à l’efficacité de ces outils et risquait par ailleurs de causer un préjudice grave aux droits fondamentaux des citoyens. Elle en déduisait que devait être rapidement engagée une action se matérialisant par la construction d’un cadre commun qui devrait permettre, d’une part, de développer une approche paneuropéenne et coordonnée de l’utilisation des applications mobiles de traçage des contacts et, d’autre part, d’adopter un dispositif commun en matière d’utilisation des données anonymisées et agrégées portant sur la circulation des personnes. Elle soulignait que ces mesures concrètes, qui seraient élaborées par les États membres avec son soutien, devraient respecter la légalité européenne et tout particulièrement les règles relatives aux dispositifs médicaux[31], au respect de la vie privée et à la protection des données à caractère personnel[32]. Dans ce contexte, le réseau santé en ligne a été chargé de constituer une boîte à outils et d’élaborer des mesures concrètes qui seraient complétées par des orientations de la Commission en matière de protection de la vie privée et des données personnelles. Ce réseau de coopération volontaire, composé d’autorités nationales chargées de la santé numérique, a été institué sur le fondement de l’article 14 de la directive 2011/24/UE[33], au sein de laquelle ont été intégrées des dispositions permettant à l’Union européenne de soutenir la coopération des États dans le domaine de la santé en ligne[34]. Il entreprend à ce titre diverses actions dans le domaine de l’e–santé[35] et les objectifs qui lui sont assignés ont été précisés par la décision d’exécution 2019/1765, qui a été adoptée par la Commission afin que soit clarifiés son rôle et celui des États dans le fonctionnement de cette entité[36]. Son expertise dans le domaine de la santé en ligne a donc naturellement conduit la Commission à considérer qu’il constituait le forum le plus adapté pour débattre des questions que suscitent l’utilisation des applications mobiles de traçage et pour adopter un ensemble de mesures destinées à garantir un usage sécurisé et efficace de ces outils et permettant d’accroître l’interopérabilité des différentes applications. Sur la base de cette recommandation, le réseau santé en ligne a adopté, le 15 avril, une première version de cette boîte à outils[37], complétée par des orientations de la Commission portant sur la protection des données personnelles[38].
B) Une approche commune destinée à garantir un déploiement efficace et sécurisé des applications mobiles de traçage des contacts
Les textes adoptés par la Commission et le réseau santé en ligne comportent un ensemble de mesures concrètes et de préconisations destinées à garantir un déploiement efficace (1), mais également sécurisé des applications mobiles de lutte contre le Covid–19 (2).
1 – La recherche de l’efficacité du fonctionnement des applications mobiles
L’un des objectifs identifiés par la Commission dans sa recommandation tenait à l’adoption de mesures destinées à garantir l’efficacité des applications mobiles de traçage des contacts. Le réseau santé en ligne a à cet égard relevé que l’effet utile de ces outils numériques était, en premier lieu, dépendant de leur acceptation par les citoyens et il a présenté une série de mesures aptes à accroître l’usage des applications et la confiance que leur accorde la population[39]. Il est ainsi conseillé aux États de créer des lignes d’assistance afin que puissent être conseillés les citoyens dans le processus d’installation et d’utilisation des applications, de développer des appareils sur lesquels pourraient être installés les applications pour les personnes ne disposant pas de smartphone et de s’assurer que les applications de traçage répondent aux exigences d’accessibilité définies dans la directive (UE) 2016/2102[40]. Par ailleurs, le réseau a souligné que seule une communication claire et régulière permettait de susciter l’adhésion du public à la stratégie nationale de lutte contre la crise de Covid–19[41] et ont donc été identifiés les éléments qui devaient être intégrés par les autorités publiques dans leur politique de communication sur les applications mobiles. Outre la nécessité de délivrer aux citoyens une information fiable et régulière, par le biais de canaux de communication aptes à assurer la visibilité des campagnes de sensibilisation menées, les États ont été invités à organiser des débats publics et à impliquer les parties prenantes dans la conception des applications et la diffusion d’informations à leur sujet. Dans ses orientations, la Commission relevait que les États devaient garantir aux citoyens qu’ils conserveraient la maîtrise de leurs données, afin d’accroître leur confiance dans ces dispositifs[42]. Elle ajoutait qu’il convenait à ce titre de privilégier une installation volontaire de l’application, de prévoir sa désactivation dès que la pandémie serait maîtrisée et de garantir aux personnes l’exercice des droits dont elles disposent en vertu du RGPD.
Toujours au titre de l’efficacité, ont été identifiées, en deuxième lieu, des mesures susceptibles d’améliorer l’efficience des applications mobiles de traçage. D’une part, le réseau santé en ligne a invité les États à suivre la méthode définie par le centre européen de prévention et de contrôle des maladies (ECDC) dans le cadre de la recherche et du suivi des personnes ayant été en contact avec des cas de Covid–19[43] et à adopter des procédures rigoureuses en la matière[44], faisant l’objet d’évaluations périodiques[45]. D’autre part, le réseau a présenté une série d’éléments qui devraient être pris en compte par les États afin que puisse être garantie l’efficacité technique des applications mobiles[46]. À ce titre, le document adopté précise que les autorités devront développer des spécifications afin que puissent être détectés les contacts avec une précision d’un mètre[47] et adopter des systèmes d’identification garantissant une pleine pseudonymisation des personnes[48]. En dernier lieu, le réseau a estimé qu’un déploiement efficace des applications mobiles exigeait le développement de leur interopérabilité dans la mesure où les chaînes de transmission du virus ne s’arrêtaient pas aux frontières. Celle–ci devrait être mise en place grâce à l’adoption de protocoles spécifiques d’interopérabilité permettant de protéger la vie privée et les données personnelles, et le réseau santé en ligne devra donc, à court terme, adapter sa boîte à outils afin d’y intégrer des critères facilitant la communication entre les diverses applications nationales.
2 – La définition d’un cadre de fonctionnement sécurisé des applications mobiles
Cette approche commune promeut également un usage sécurisé des applications mobiles de traçage des contacts et la Commission relevait, dans sa recommandation du 8 avril, qu’il convenait de définir des exigences communes en matière de cybersécurité[49], permettant de se prémunir de cyberattaques et de protéger la confidentialité des données collectées. Les applications qui sont actuellement développées comportent d’importants risques de sécurité, inhérents à leur fonctionnalité, et s’il semble impossible de pouvoir totalement les annihiler, la mise en œuvre de certaines mesures devrait permettre de résorber ces failles. À ce titre, le réseau santé en ligne a présenté, en annexe du document publié, une série d’exigences et de conseils d’ordre technique, qui avaient été compilés par l’agence européenne de la cybersécurité (ENISA), qui est un centre d’expertise fournissant des conseils aux États et aux institutions dans le domaine de la sécurité informatique et technologique[50]. Sont ainsi recensées les mesures qui devraient être mises en œuvre par les différents acteurs intervenant dans le processus de conception et de gestion de ces applications en matière de chiffrement et de minimisation des données, d’authentification des utilisateurs, de l’accès au code source et des tests de sécurité[51]. Ces éléments devraient être affinés dans les mois à venir, grâce aux travaux du groupe NIS[52], qui soutient et facilite la coopération stratégique et l’échange d’informations entre les États membres dans le domaine de la cybersécurité.
Outre ces aspects, le réseau et la Commission ont également dû prendre position sur la question qui divise à l’heure actuelle les spécialistes de la sécurité des applications mobiles, à savoir convient–il de privilégier des systèmes centralisés ou décentralisés ? Autrement dit, faut–il stocker les identifiants des utilisateurs de l’application sur un service central ou bien sur leur téléphone ? Le réseau santé en ligne considère que le système central présente l’avantage de stocker des données qui pourront par la suite être anonymisées et agrégées, et ainsi être utilisées par les autorités sanitaires comme source d’information. Il a néanmoins estimé que les applications centralisées ne devaient pas être privilégiées et que les systèmes décentralisés risquaient moins de faire l’objet de cyberattaques. La Commission s’est elle aussi prononcée en faveur du système décentralisé[53] qui, comme le soulignait le Comité européen de la protection des données dans une lettre adressée le 14 avril à la Commission[54], est plus à même de concrétiser le principe de minimisation des données, qui implique que les données personnelles traitées soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »[55]. En effet, la solution décentralisée permet de restreindre le champ des informations portées à la connaissance des autorités sanitaires qui n’auraient accès qu’aux données de proximité et non à celles liées à la santé. La Commission a par ailleurs relevé que la garantie du principe de minimisation des données devait conduire les autorités nationales à privilégier la technologie Bluetooth, en ce qu’elle soustrait à la collecte les données liées à la localisation des personnes[56].
Si les travaux du réseau santé en ligne et de la Commission n’ont pas permis de régler toutes les questions tenant à l’efficacité et à la sécurisation de l’usage des applications mobiles, ils ont le mérité d’avoir institué un socle de principes et de mesures qui permettent de structurer les actions des États membres dans le cadre de la conception et du développement des applications mobiles de traçage des contacts. Au–delà de sa fonction structurante, cette approche concertée permet à la Commission d’attirer l’attention des États membres sur les exigences en matière de protection de la vie privée et des données à caractère personnel et de leur proposer un cadre de développement des applications mobiles qui soit respectueux de ces normes. Dans ce contexte, se pose la question de savoir si cette action concertée peut être le levier de la protection des exigences de l’État de droit.
II – L’action coordonnée : un levier performant de la garantie des exigences de l’État de droit ?
Face au danger que représente les applications mobiles pour la garantie de l’État de droit (A), la Commission a esquissé un cadre de compatibilité de l’usage de ces technologies avec les droits fondamentaux (B). Si l’action de l’Union doit être saluée, elle ne permettra malheureusement pas de garantir le respect par les États des exigences de cette valeur fondamentale (C).
A) Le déploiement des applications mobiles de traçage : un danger pour la garantie des exigences de l’État de droit
L’État de droit, dont la garantie implique le droit au droit, mais également le droit aux droits[57], est devenu un modèle en crise[58] et la préservation de ses exigences fondamentales se trouve affaiblie sous l’effet des logiques qui animent dans la période contemporaine les politiques migratoires et sécuritaires, et de restructuration du pouvoir judiciaire au sein de plusieurs États. La réponse apportée par les Gouvernements européens pour faire face à l’urgence sanitaire ont ouvert de nouvelles brèches, quand le droit d’exception qui s’adosse à cette situation exceptionnelle devrait au contraire entraîner un contrôle étendu et resserré des restrictions apportées à l’exercice des libertés publiques qui, bien que pouvant être provisoirement entravées, ne doivent point être érodées. Les mesures adoptées dans les États membres pour faire face à l’épidémie de Covid–19 suscitent l’inquiétude des institutions européennes quant au respect de l’État de droit, qui a été élevé au rang de valeur de l’Union[59] et qui constitue à cette égard une composante de l’identité politique européenne[60]. Ainsi, dans une déclaration du 31 mars, Ursula von der Leyen soulignait que les mesures d’urgence ne pouvaient pas être prises au détriment des valeurs et principes fondamentaux contenus dans les traités[61] et devaient, en tout état de cause, respecter scrupuleusement le principe de proportionnalité[62]. Dans une résolution adoptée le 17 avril dernier, le Parlement européen a également alerté les autorités nationales en leur rappelant que les mesures adoptées dans ce contexte d’état d’urgence sanitaire devaient être conformes à l’État de droit[63].
À cet égard, les technologies numériques font naître de nombreuses interrogations[64] dès lors que leur usage est susceptible de porter atteinte aux libertés fondamentales[65]. D’ailleurs, le Comité des ministres du Conseil de l’Europe a rappelé, dans une recommandation adoptée le 8 avril dernier, que les États membres devaient s’assurer que le développement de systèmes algorithmiques se fasse dans le respect des droits de l’homme et des libertés fondamentales[66]. Parmi les instruments les plus contestés figurent les drones utilisés pour lutter contre la diffusion du virus et faire respecter le confinement, le partage des données de géolocalisation des abonnés des opérateurs de téléphonie mobile[67] et les applications de traçage des contacts. Ces dernières sont susceptibles de porter atteinte à plusieurs droits consacrés par la Charte des droits fondamentaux, tels que le respect de la vie privée, la non–discrimination, la protection des données personnelles, voire la dignité humaine. Ainsi, l’usage de ces outils peut nuire à la préservation de l’intégrité de la dimension formelle de l’État de droit, autrement dit au respect de la légalité, mais également à sa dimension substantielle, en entravant la concrétisation des droits subjectifs des individus[68]. Ce risque a clairement été identifié par la Commission qui relevait, dans sa recommandation du 8 avril 2020, que « le recours à la technologie pour évaluer le niveau de risque sanitaire attaché à un individu et la centralisation de données sensibles, posent question du point de vue de plusieurs droits et libertés fondamentaux garantis dans l’ordre juridique de l’Union »[69]. Au–delà d’avoir invité les autorités nationales à veiller au respect de la légalité européenne, l’institution a adopté des orientations recensant les mesures qui devaient être mises en œuvre dans le processus de déploiement des applications mobiles afin que celui–ci soit le moins intrusif possible et respectueux des exigences en matière de respect de la vie privée et de la protection des données personnelles[70]. Ce guide a utilement été complété par les lignes directrices adoptées par le Comité européen de la protection des données (ci–après l’EDPB) le 21 avril dernier[71].
B) La définition d’un cadre de compatibilité du déploiement des applications mobiles avec les droits fondamentaux du citoyen
Si les États membres doivent se soumettre aux exigences issues du RGPD[72], de la directive vie privée[73] et aux principes généraux du droit, et notamment au principe de proportionnalité, leur respect peut emprunter plusieurs voies susceptibles de concrétiser de manière plus ou moins adéquate les droits des citoyens consacrés dans la Charte des droits fondamentaux.
Afin de palier les risques inhérents au fonctionnement de ces applications, l’EDPB et la Commission ont invité les autorités nationales à choisir les mesures les plus à même de protéger la vie privée et les données personnelles des individus[74]. Après avoir tous deux estimé que l’utilisation de l’application devait se faire sur une base volontaire, par le recueil du consentement[75], afin que soit assise la légitimité de ces outils numériques, l’EDPB et la Commission relevaient qu’il était néanmoins préférable de ne pas fonder le traitement des données sur le consentement[76], mais sur le droit de l’Union ou le droit national, conformément à ce que prévoit l’article 6, paragraphe 3 du règlement 2016/679[77]. Ce choix permet en effet de davantage encadrer le traitement des données dans la mesure où cette base juridique doit définir les finalités du traitement et peut également indiquer le responsable du traitement des données et la durée de leur conservation. Cette option renforce alors la protection des données dans la mesure où elle exclut leur traitement ultérieur pour des finalités autres que celles énumérées. La Commission ajoute à cet égard que la finalité du traitement doit être spécifique et précisément définie et elle a invité les États à ne pas utiliser les données à des fins autres que celles liées à la lutte contre le Covid–19. Les orientations et les lignes directrices précisent ensuite que les autorités nationales devraient être désignées responsables du traitement des données, ce qui permettrait de sécuriser le traitement et de renforcer la confiance des citoyens[78], et elles rappellent que doit être fermement respecté le principe de minimisation des données et que seules les informations strictement nécessaires au regard de la finalité des applications peuvent être traitées[79]. À cet égard, la Commission souligne que les autorités doivent veiller à développer un système permettant de protéger la vie privée des utilisateurs. Ainsi, les données de santé relatives à la personne infectée ne devraient être mises à la disposition des autorités sanitaires qu’en cas de consentement de celle–ci, exprimé de manière active. De plus, l’institution invite les autorités à opter pour des procédés techniques permettant d’éviter que ne soit divulguée aux contacts, de manière accidentelle, l’identité de la personne atteinte du Covid–19. À cette fin, la Commission met en exergue la nécessité de ne pas stocker les données relatives à la date et au lieu de rencontre de la personne infectée et de celle qui est alertée[80].
L’EDPB et la Commission ont ensuite attiré l’attention des autorités nationales sur la nécessité de ne pas procéder à une rétention disproportionnée des données collectées et d’adopter des mesures aptes à garantir le respect du principe de limitation de leur conservation[81]. À ce titre, la Commission relève que doivent être fixés des délais stricts de conservation qui ne devraient pas dépasser un mois lorsque les données colletées sont des données de santé ou de proximité. Elle ajoute que la conservation des données à des fins de recherche exige que ces dernières soient préalablement anonymisées. Enfin, l’EDPB et la Commission ont mis en évidence le caractère impérieux des contrôles devant être périodiquement effectués dans le cadre du processus de déploiement des applications mobiles de traçage des contacts. À cet égard, le Comité européen de la protection des données considère que les autorités devraient effectuer une évaluation d’impact sur la protection des données avant que les applications ne soient opérationnelles et il recommande de publier ces études[82]. Le RGPD prévoit d’ailleurs, dans son article 35, paragraphe 1, que soient réalisées des analyses d’impact relatives à la protection des données lorsque le traitement est susceptible « d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Le paragraphe 3, b) de cette disposition précise, en outre, que ces analyses sont particulièrement requises lorsque sont traitées, à grande échelle, des données sensibles, comme le sont les données relatives à l’état de santé des usagers des applications mobiles. Enfin, l’EDPB relevait que des contrôles des algorithmes devaient être périodiquement organisés par des experts indépendants[83], quand la Commission soulignait que les contrôles effectués dans les États devraient l’être de manière coordonnée[84].
Si l’action de l’Union européenne est louable, il semble peu probable que les autorités nationales se conforment totalement aux exigences définies et l’action coordonnée se présente comme un levier fragile de la préservation des exigences de l’État de droit.
C) L’action coordonnée : un levier fragile de la préservation des exigences de l’État de droit
L’urgence dans laquelle se développent les applications mobiles de traçage des contacts n’est point propice à l’adoption d’une réflexion concertée et le caractère tardif de la mise en place de cette action coordonnée n’est pas de nature à encourager les autorités nationales à se détourner de la stratégie qu’elles avaient préalablement définie. Comme nous l’avons souligné en introduction de cette étude, certains États, comme la France et l’Allemagne, ont prévu de s’appuyer sur le projet PEPP–PT, qui diffère de l’approche définie par la Commission dans la mesure où le protocole « ROBERT » se fonde sur un système central de stockage des données[85]. Après la sortie des instituts suisses du projet PEPP–PT, la Belgique a pour sa part décidé d’abandonner son projet d’application mobile et préfère privilégier le traçage manuel de contacts en raison de l’absence d’adhésion des citoyens à ces outils numériques[86]. Les États membres avancent en ordre dispersé[87] et ne semblent pas disposés à coordonner leurs efforts, quand cette initiative favoriserait pourtant un déploiement plus efficace des applications mobiles, mais également davantage conforme à la légalité européenne. Le maintien par certains États d’une stratégie de déploiement autonome des applications mobiles et l’atteinte au droit de l’Union qui serait susceptible d’en résulter pourraient faire naître, dans le futur, des contentieux. En tant que gardienne des traités, la Commission pourrait être amenée à saisir la Cour de justice sur le fondement de l’article 258 du TFUE afin que soit constaté le manquement des États membres dans l’hypothèse où les mesures adoptées porteraient atteinte aux exigences définies dans le droit dérivé ou violeraient les droits au respect à la vie privée et à la protection des données à caractère personnel consacrés dans la Charte des droits fondamentaux[88]. À cet égard, il est permis de croire que la Cour de justice constaterait le manquement dans la mesure où, comme le relève Marc Blanquet, elle retient « une conception large de la notion de manquement » et « une conception restrictive des circonstances exonératoires »[89]. L’invocation de l’état d’urgence sanitaire ne permettra probablement pas de justifier l’inobservation par les autorités nationales des obligations qui leur incombent au titre du droit de l’Union et la Cour de justice devrait être d’autant plus encline à constater le manquement dès lors que la Commission avait présenté la voie d’un déploiement des applications mobiles conforme à la légalité européenne. Certes, les orientations adoptées par l’institution n’ont pas de caractère contraignant et ne lient donc pas les États, mais elles contiennent les éléments qui devraient être mis en œuvre pour éviter de porter atteinte aux règles énoncées dans le droit primaire et dans les sources de droit dérivé. En outre, les juges nationaux, en tant que juges de droit commun du droit de l’Union pourraient être amenés à jouer un rôle déterminant dans la garantie des exigences de l’État de droit dans la mesure où il leur revient d’assurer la protection juridictionnelle effective que les particuliers tirent du droit de l’Union et de contrôler la soumission des autorités nationales au respect de la légalité européenne. Nous pensons néanmoins que le pouvoir judiciaire ne sera pas un rempart solide et que son action ne permettra pas de garantir un contrôle efficace du respect des exigences de l’État de droit. Tandis que certains juges européens ont purement et simplement été dépossédés de leurs pouvoir judiciaire et que la garantie dans certains États membres de l’indépendance des juges est largement altérée[90], d’autres juridictions font preuve d’indulgence vis–à–vis de l’action des autorités publiques[91] et certains juges semblent, dans cette période, perdre parfois de vue leur rôle de protecteur des libertés publiques[92].
Par ailleurs, l’action coordonnée est un levier fragile de la préservation des exigences de l’État de droit dans la mesure où l’adhésion des États à l’approche adoptée par la Commission ne résoudrait pas toutes les problématiques. À cet égard, le recueil d’un consentement libre et éclairé des utilisateurs des applications mobiles est problématique[93] dès lors que, comme le soulignait récemment le Comité national pilote d’éthique du numérique, « ce choix individuel peut être orienté, voire influencé, de diverses manières, par exemple à travers les techniques de persuasion («nudging») ou de manipulation, la pression sociale, l’imitation des actions des proches »[94]. Ce danger se trouve exacerbé en présence d’outils technologiques complexes, qui ne devraient pas être adoptés sans un vote des représentants des citoyens et sans que ne soit organisé un débat public préalable portant sur les risques éthiques que leur usage comporte[95]. Le recours à telles applications devrait par ailleurs être strictement encadré dans les milieux professionnels au sein desquels le consentement pourrait être donné par des utilisateurs sous la pression de leur supérieur hiérarchique. Il nous semble également que n’ont pas suffisamment été appréhendées les incidences du déploiement de ces applications sur les comportements individuels et collectifs des utilisateurs. Dans son avis publié le 24 avril, le Conseil national du numérique relevait d’ailleurs qu’il était difficile d’anticiper l’impact de l’application StopCovid19 sur les pratiques sociales et que son usage risquait de procurer un faux sentiment de protection ou bien, au contraire, de générer des angoisses, et de susciter de la discrimination sociale et de la stigmatisation[96].
Nous nourrissons des doutes sur la capacité à concevoir des applications mobiles de traçage des contacts qui soient pleinement conformes à la légalité nationale et européenne. Leur déploiement portera inexorablement atteinte aux exigences de l’État de droit dans la mesure où la capacité de pouvoir atteindre techniquement un niveau de protection souhaité ne doit pas être surévaluée et qu’existe toujours des risques de détournement de ces applications[97]. Les incertitudes technologiques, mais également sociologiques qui subsistent font dangereusement pencher la balance bénéfices – risques dans le sens le moins favorable à l’État de droit. La persistance de ces nombreuses failles justifie, à notre sens, de rechercher de nouveaux outils de gestion du Covid–19 qui seraient plus efficaces tout en étant moins attentatoires aux libertés publiques.
[1] Sur le modèle de l’application Trace Together, développée par le Gouvernement singapourien.
[2] L’OMS et l’UIT ont à cet égard annoncé, le 20 avril, vouloir collaborer avec des entreprises de communication afin que puissent être envoyées sur les téléphones portables, par SMS, des informations sanitaires permettant de protéger les populations. Déclaration conjointe de l’UIT et de l’OMS, « Exploiter les technologies de l’information pour venir à bout de la Covid–19 », 20 avril 2020, disponible sur le site de l’OMS.
[3] La collecte et le regroupement de données permettent de modéliser l’évolution de l’épidémie et sa circulation.
[4] Ces risques ont été mis en évidence, en France, par la Quadrature du Net, « Nos arguments pour rejeter StopCovid », 14 avril 2020. Document disponible à l’adresse suivante : https://www.laquadrature.net/wp-content/uploads/sites/8/2020/04/contre-stopcovid.pdf
[5] Nous renvoyons à cet égard à l’étude de chercheurs spécialisés en cryptographie et en sécurité informatique. X. Bonnetain, A. Canteaut, V. Cortier et autres, « Le traçage anonyme, dangereux oxymore », version du 21 avril 2020, disponible à l’adresse suivante : https://risques-tracage.fr/docs/risques-tracage.pdf
[6] Dans un contexte où le niveau d’immunité est très inférieur à celui qui serait nécessaire pour éviter une seconde vague de contamination. En France, des chercheurs de l’Institut Pasteur et du CNRS, en collaboration avec l’Inserm et Santé publique France, ont réalisé une étude portant sur les hospitalisations et les décès dus au Covid–19 et ont construit, à partir de ces données, des modélisations indiquant que 6% des français seulement auraient été infectés. Cette étude, publiée le 20 avril, est disponible à l’adresse suivante : https://hal-pasteur.archives-ouvertes.fr/pasteur-02548181/document
[7] Sur ce point voir notamment l’entretien de Marcel Salathé par Sylvie Logean, Le Temps, 25 mars 2020.
[8] Il semble peu probable que celle–ci soit opérationnelle le 11 mai en raison des désaccords du Gouvernement avec Apple qui refuse d’autoriser l’usage du Bluetooth sur ses appareils lorsque l’application n’est pas active. Voir F. Schmitt et F. Debes, « StopCovid : Cédric O demande à Apple de « lever les barrières techniques » », Les Échos, 20 avril 2020.
[9] L. Ferretti, C. Wymant, M. Kendall et autres, « Quantifying SARS-CoV-2 transmission suggests epidemic control with digital contact tracing », Science, 31 mars 2020.
[10] Le taux d’équipement en smartphone était de 77 % pour l’année 2019 selon une étude pilotée par le CGE, l’Arcep et l’Agence du numérique. Baromètre numérique 2019, publié par la Mission Société numérique, 28 novembre 2019. Disponible à cette adresse :
[11] Selon une étude publiée par l’Insee, en octobre 2019, l’illectronisme toucherait 17 % de la population. Voir : https://www.insee.fr/fr/statistiques/4241397
[12] StopCovid, Avis du Conseil national du numérique, 24 avril 2020, p. 6, disponible à cette adresse :
https://cnnumerique.fr/files/uploads/2020/2020.04.23_COVID19_CNNUM.pdf
[13] Voir notamment J. Toubon, « Géolocalisation, je dis : attention », L’Obs, 30 mars 2020.
[14] Pan-European Privacy-Preserving Proximity Tracing, voir https://www.pepp-pt.org/
[15] Ceci étant dit, l’usage de cette technologie comporte également des risques. Voir sur ce point B. Seri et G. Vishnepolsky, « The dangers of Bluetooth implementations : Unveiling zero day vulnerabilities and security flaws in modern Bluetooth stacks », Armis, 2017. Disponible à l’adresse suivante :
https://kryptera.se/assets/uploads/2017/09/blueborne-technical-white-paper.pdf
[16] L’un des problèmes de cette technologie est qu’elle ne permet pas de détecter la proximité physique et son utilisation pourrait conduire à considérer que deux personnes, séparées par un mur, sont en contact.
[17] Une présentation de ce protocole se trouve sur le site de l’Inria (Institut national de recherche en sciences et technologies du numérique) qui participe au projet. Voir https://www.inria.fr/sites/default/files/2020-04/Pr%C3%A9sentation%20du%20protocole%20Robert.pdf
[18] V. R. Challand, « StopCovid : La France pourrait opter pour le protocole paneuropéen nommé Robert », Les Numériques, 20 avril 2020.
[19] A. Seydtaghia, « L’EPFL se distancie du projet européen de traçage du virus via les téléphones », Le Temps, 18 avril 2020.
[20] Voir https://drive.google.com/file/d/1OQg2dxPu-x-RZzETlpV3lFa259Nrpk1J/view
[21] Propos recueillis par Martin Untersinger, « Coronavirus : Les applications de « contact tracing » appellent à une vigilance particulière », Le Monde, 5 avril 2020.
[22] En vertu de l’article 168 du TFUE, l’Union européenne dispose d’une compétence d’appui, mais également, en vertu du paragraphe 4 de cette disposition lue à la lumière de l’article 4, paragraphe 2, point k) du TFUE, d’une compétence partagée avec les États membres « pour les enjeux communs de sécurité en matière de santé publique pour les aspects définis dans le présent traité ». Sur l’évolution des compétences de l’Union en matière de santé voir M. Blanquet, « Compétence et ambivalence de l’Union européenne en matière de santé publique », RUE, 2019, p. 12; N. De Grove–Valdeyron, Droit européen de la santé, 2ème éd., LGDJ, Issy–les–Moulineaux, Lextenso éd., 2018, p. 15 et s; S. Guigner, « La dynamique d’intégration par sédimentation : retour sur l’inscription de la santé dans les compétences de l’Union », in Droit européen et protection de la santé. Bilans et perspectives, E. Brosset (dir.), Bruxelles, Bruylant, 2015, p. 35; V. Michel, « La compétence de la Communauté en matière de santé publique », RAE, 2003–2004, n° 2, p. 157.
[23] N. De Grove–Valdeyron, « Avant–propos », in Télémédecine et intelligence artificielle en santé : quels enjeux pour l’Union européenne et les États membres ?, N. De Grove–Valdeyron et I. Poirot–Mazères (dir.), Cahiers Jean Monnet, Toulouse, éd. des Presses de l’Université, 2020, p. 13.
[24] Communicationdu 30 avril 2004, COM (2004) 356 final. Cette définition a ultérieurement été affinée et la Commission relevait, dans une communication du 6 décembre 2012, relative au plan d’action pour la santé en ligne 2012–2020, que « l’expression « santé en ligne » désigne l’utilisation des TIC dans les produits, services et processus de santé, associée à des modifications organisationnelles dans les systèmes de soins de santé et à de nouvelles compétences, afin d’améliorer la santé de la population, l’efficacité et la productivité dans la prestation des soins de santé et la valeur économique et sociale de la santé. L’interaction entre patients et prestataires de services dans le domaine de la santé, la transmission de données entre institutions ou la communication entre patients et/ou professionnels de la santé entrent également dans le cadre de la santé en ligne » (COM (2012) 736 final).
[25] Depuis l’adoption, en 2004, de son premier plan d’action pour la santé en ligne (COM (2004) 356 final), l’Union européenne a adopté de nombreux textes dans ce domaine. Pour un panorama de son action en matière d’e–santé voir E. Brosset, « Le droit à l’épreuve de la e–santé : quelle « connexion » du droit de l’Union européenne ? », RDSS, 2016, p. 869; E. Brosset, « La santé connectée et le droit de l’Union européenne : nul part et partout ? », in La santé connectée et « son » droit : approches de droit européen et de droit français, E. Brosset, S. Gambardella et G. Nicolas (dir.), Aix–en–Provence, PUAM, 2017, p. 77; N. De Grove–Valdeyron, « Lecture du droit européen numérique de la santé : conséquences sur les patients, l’accès aux soins, la circulation des patients », in Santé, numérique et droit-s, I. Poirot–Mazères (dir.), Toulouse, Presses de l’Université Toulouse I Capitole, 2018, p. 79; Nathalie De Grove–Valdeyron, « Politique de santé de l’Union européenne et transformation numérique des soins : quels enjeux pour quelle compétence ? », RUE, 2019, p. 39.
[26] Communication de la Commission, stratégie pour un marché unique numérique en Europe, 6 mai 2015, COM (2015) 192 final.
[27] Communication de la Commission, une stratégie européenne pour les données, 19 février 2020, COM (2020) 66 final.
[28] Recommandation (UE) 2020/518 de la Commission du 8 avril 2020 concernant une boîte à outils commune au niveau de l’Union en vue de l’utilisation des technologies et des données pour lutter contre la crise de la Covid–19 et sortir de cette crise, notamment en ce qui concerne les applications mobiles et l’utilisation de données de mobilité anonymisées, JOUE, 14 avril 2020, L 114/7.
[29] Feuille de route européenne commune pour la levée des mesures visant à contenir la propagation de la Covid–19, disponible à cette adresse :
[30] Déclaration commune des membres du Conseil européen, Bruxelles, 26 mars 2020, disponible à l’adresse suivante : https://www.consilium.europa.eu/media/43084/26-vc-euco-statement-fr.pdf
[31] La Commission soulignait en effet que certaines des applications développées dans les États membres pouvaient être qualifiées de dispositifs médicaux et qu’elles relevaient donc du champ d’application du règlement (UE) 2017/745. Pour une présentation du cadre juridique applicable à ces dispositifs, voir S. Bister, L’encadrement par le droit de l’Union européenne de la qualité et de la sécurité des médicaments et dispositifs médicaux. Implications en droit français, thèse dactylographiée, Toulouse, 2017; S. Bister, « La sécurité des médicaments et des dispositifs médicaux, quelles améliorations depuis le traité de Lisbonne ? »,in Les nouveaux enjeux de la politique pharmaceutique européenne. Pour des produits de santé sûrs, innovants et accessibles, N. De Grove–Valdeyron (dir.), Paris, éd. Clément Juglar, 2019 p. 11.
[32] Cette protection est régie par la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, JOCE, 31 juillet 2002, L 201 et par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOUE, 4 mai 2016, L 119/1.
[33] Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers, JOUE, 4 avril 2011, L 88/45.
[34] La vocation principale de ce texte était de clarifier le régime de remboursement des soins transfrontaliers qui était jusqu’alors éclaté, mais ont également été intégrées en son sein des dispositions consacrant de nouveaux droits au profits du patient. Voir N. De Grove–Valdeyron, « La directive sur les droits des patients en matière de soins de santé transfrontaliers », RTDE, 2011, p. 299; S. De La Rosa, « Quels droits pour les patients en mobilité ? À propos de la directive sur les droits des patients en matière de soins transfrontaliers », RFAS, 2012/1, p. 108; Louis Dubouis, « La directive n° 2011/24 relative à l’application des droits des patients en matière de soins de santé transfrontaliers », RDSS, 2011, p. 1059.
[35] Pour un bilan de son action, voir A. Dubuis, « L’article 14 de la directive 2011/24/UE sur le réseau « Santé en ligne » : quel contenu pour quelle application ? », in La santé connectée et « son » droit : approches de droit européen et de droit français, E. Brosset, S. Gambardella et G. Nicolas (dir.), Aix–en–Provence, PUAM, 2017, p. 91.
[36] Décision d’exécution (UE) 2019/1765 de la Commission du 22 octobre 2019, JOUE, 24 octobre 2019, L 270/83. Cette décision a abrogé la décision d’exécution de la Commission du 22 décembre 2011 arrêtant les règles relatives à la création, à la gestion et au fonctionnement du réseau d’autorités nationales responsables de la santé en ligne, 2011/890/UE, JOUE, 28 décembre 2011, L 344/48.
[37] eHealth Network, « Mobile applications to support contact tracing in the EU’s fight against Covid-19. Common EU Toolbox for Member States », 15 avril 2020. Document disponible à cette adresse : https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf
[38] Communication de la Commission européenne, orientations sur les applications soutenant la lutte contre la pandémie de Covid–19 en ce qui concerne la protection des données, (2020/C 124 I/01), JOUE, 17 avril 2020, C 124 I/1.
[39] eHealth Network, « Mobile applications to support contact tracing in the EU’s fight against Covid-19. Common EU Toolbox for Member States », op. cit., p. 19 et s.
[40] Directive du Parlement européen et du Conseil du 26 octobre 2016 relative à l’accessibilité des sites internet et des applications mobiles des organismes du secteur public, JOUE, 2 décembre 2016, L 327/1.
[41] eHealth Network, « Mobile applications to support contact tracing in the EU’s fight against Covid-19. Common EU Toolbox for Member States », op. cit., p. 22.
[42] Communication de la Commission européenne, orientations sur les applications soutenant la lutte contre la pandémie de Covid–19 en ce qui concerne la protection des données, op. cit., p. 4.
[43] ECDC, « Contact tracing : Public health management of persons, including healthcare workers, having had contact with COVID-19 cases in the European Union – second update », 8 avril 2020. Voir : https://www.ecdc.europa.eu/en/covid-19-contact-tracing-public-health-management
[44] eHealth Network, « Mobile applications to support contact tracing in the EU’s fight against Covid-19. Common EU Toolbox for Member States », op. cit., p. 13 et s.
[45] À cet égard, le réseau invite les États à élaborer des indicateurs de performance pour que puisse être évaluée l’efficacité des applications dans la prise en charge de la recherche des contacts. Ibid., p. 21.
[46] Ibid., p. 15 et s.
[47] Le réseau attire l’attention des États sur la technologie Bluetooth qui est susceptible de produire des faux positifs.
[48] Si la pseudonymisation permet de traiter des données sans pouvoir identifier les individus de manière directe, elle se distingue de l’anonymisation dans la mesure où les données pseudonymisées peuvent être attribuées à une personne identifiée grâce à l’obtention d’autres informations. Ces données constituent donc des données personnelles et doivent être traitées conformément aux exigences définies dans le RGPD (considérant 26 du règlement (UE) 2016/679 précité).
[49] Recommandation (UE) 2020/518 de la Commission du 8 avril 2020, précitée.
[50] Voir https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/smartphone-guidelines-tool
[51] eHealth Network, « Mobile applications to support contact tracing in the EU’s fight against Covid-19. Common EU Toolbox for Member States », op. cit, p. 33 et s.
[52] Ce groupe a été institué sur le fondement de l’article 11 de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, JOUE, 19 juillet 2016, L 194/1.
[53] Communication de la Commission européenne, orientations sur les applications soutenant la lutte contre la pandémie de Covid–19 en ce qui concerne la protection des données, document précité.
[54] La Commission a consulté l’EDPB sur son projet d’orientations sur les applications soutenant la lutte contre la pandémie de Covid–19. La lettre adressée à l’institution est disponible à cette adresse :
https://edpb.europa.eu/sites/edpb/files/files/file1/edpbletterecadvisecodiv-appguidance_final.pdf
[55] Article 5, paragraphe 1, c) du règlement (UE) 2019/679 (RGPD), précité.
[56] Communication de la Commission européenne, orientations sur les applications soutenant la lutte contre la pandémie de Covid–19 en ce qui concerne la protection des données, op. cit., p. 5.
[57] En effet, l’État de droit possède une dimension formelle et substantielle. Sur ce point voir J. Chevallier, L’État de droit, 6ème éd., Issy–les–Moulineaux, LGDJ, Lextenso éd., 2017, p. 65 et s.
[58] Voir sur ce point E. Carpano, « La crise de l’État de droit en Europe. De quoi parle–t–on ? », RDLF, 2019, chron. 29.
[59] Article 2 du TUE.
[60] À ce titre, a été créée une procédure permettant de sanctionner sa violation (article 7 du TUE), mais malheureusement ce dispositif est privé de toute effectivité. Sur cette question voir C. Blumann, « Le mécanisme des sanctions de l’article 7 du traité sur l’Union européenne : pourquoi tant d’inefficacité ? », in Les droits de l’homme à la croisée des droits, Mélanges en l’honneur de Frédéric Sudre, Paris, LexisNexis, 2018, p. 71; D. Kochenov, « Article 7 TUE : un commentaire de la fameuse disposition « morte » », R.A.E. 2019/1. 33.
[61] Déclaration de la présidente, Mme von der Leyen, sur les mesures d’urgence prises dans les États membres, Bruxelles, 31 mars 2020, disponible sur le site de la Commission.
[62] Avec cette déclaration, la présidente de la Commission entendait tout particulièrement condamner les mesures hongroises portant atteinte à l’indépendance des journalistes et à la liberté de la presse. La loi d’urgence adoptée dans cet État pour faire face à l’épidémie prévoit des peines pouvant aller jusqu’à cinq années d’emprisonnement en cas de diffusion de fausses informations. Ces mesures ont été dénoncées par Reporters sans frontières qui a lancé l’observatoire 19 afin d’évaluer les incidences de la pandémie sur le journalisme.
Voir https://rsf.org/fr/crise-du-covid-19-rsf-lance-lobservatoire-19-en-reference-larticle-19-de-la-declaration-universelle
[63] Résolution du Parlement européen du 17 avril 2020 sur une action coordonnée de l’Union pour combattre la pandémie de Covid–19 et ses conséquences (2020/2616/(RSP)).
[64] Comme le relève Antonio Casilli, « cette épidémie est aussi un signal d’alarme à propos du numérique ». Grand entretien par R. Bourgeois, AOC, 28 mars 2020.
[65] Outre le droit à la vie privée et à la protection des données personnelles, les technologies numériques sont susceptibles de porter atteinte au principe d’égalité. Ainsi, la généralisation de la numérisation du service public porte atteinte au principe d’égalité d’accès au service public. Sur cette question voir V. Annequin, « La numérisation du service public dans la lutte contre le coronavirus », Droit et Coronavirus. Le droit face aux circonstances sanitaires exceptionnelles, RDLF, 2020, chron. n° 28.
[66] Recommandation CM/Rec (2020) 1 du Comité des Ministres aux États membres sur les impacts des systèmes algorithmiques sur les droits de l’homme.
[67] De telles données ne devraient normalement pas être soumises aux règles du RGPD dès lors qu’elles sont anonymisées et agrégées. En pratique, elles pourraient néanmoins être qualifiées de données personnelles dans la mesure où elles ne sont anonymisées qu’a posteriori (initialement la donnée est rattachée à un numéro de téléphone) et qu’il existe un risque de ré–identification en fonction de la technique utilisée pour anonymiser les données. Ce risque avait été mis en évidence par le groupe 29 (remplacé par le comité européen de la protection des données) dans un avis adopté le 10 avril 2014. Avis 05/2014 sur les techniques d’anonymisation, WP216, disponible à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/wp216_fr.pdf
[68] Pour une mise en perspective des termes du débat portant sur leur nature subjective, voir O. Jouanjan, « Les droits publics subjectifs et la dialectique de la reconnaissance : Georg Jellinek et la construction juridique de l’État moderne », Revue d’Allemagne et des pays de langue allemande, 46–1/2014, p. 51.
[69] Recommandation (UE) 2020/518, précitée, p. 5.
[70] Communication de la Commission européenne, orientations sur les applications soutenant la lutte contre la pandémie de Covid–19 en ce qui concerne la protection des données, (2020/C 124 I/01).
[71] EDPB, « Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak ». Disponible à l’adresse suivante :
[72] Règlement (UE) 2016/679 du 27 avril 2016, précité.
[73] Directive 2002/58/CE du 12 juillet 2002, précitée.
[74] Nous ne reviendrons pas sur les mesures présentées par le réseau santé en ligne et la Commission qui sont destinées à garantir la sécurité de ces applications.
[75] Le considérant 32 du règlement (UE) 2016/679 prévoit à cet égard que « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale ». Le silence ne saurait donc valoir consentement comme l’a d’ailleurs relevé la Cour de justice dans son arrêt Planet49 (CJUE, grde ch., 1er octobre 2019, Planet49, aff. C–673/17, EU:C:2019:801, pt 62).
[76] Même si ce choix est légal, au regard du RGPD, tant pour les données personnelles non sensibles (article 6, paragraphe 1, a), que pour les données sensibles, telles que les données de santé (article 9, paragraphe 2, a).
[77] EDPB, « Guidelines 04/2020 », op. cit., p. 7; Communication de la Commission européenne, (2020/C 124 I/01), op. cit., p. 5.
[78] EDPB, « Guidelines 04/2020 », op. cit., p. 7; Communication de la Commission européenne, (2020/C 124 I/01), op. cit., p. 3.
[79] EDPB, « Guidelines 04/2020 », op. cit., p. 9; Communication de la Commission européenne, (2020/C 124 I/01), op. cit., p. 5.
[80] La personne alertée pourrait avoir été en contact avec un seul individu certains jours et la divulgation de la date à laquelle elle s’est trouvée à proximité d’un usager de l’application infecté lui permettrait de deviner l’identité de cette personne.
[81] EDPB, « Guidelines 04/2020 », op. cit., p. 8; Communication de la Commission européenne, (2020/C 124 I/01), op. cit., p. 8.
[82] EDPB, « Guidelines 04/2020 », op. cit., p. 8.
[83] Ibid.
[84] Communication de la Commission européenne, (2020/C 124 I/01), op. cit., p. 4.
[85] https://www.inria.fr/sites/default/files/2020-04/Pr%C3%A9sentation%20du%20protocole%20Robert.pdf
[86] X. Demagny, « Coronavirus et déconfinement : la Belgique laisse tomber l’idée d’une application de traçage », France Inter, 23 avril 2020; M. Turcan, « Coronavirus : la Belgique renonce à une application de traçage des malades », Numerama, 23 avril 2020.
[87] Certains États ont décidé de concevoir de manière autonome les applications mobiles utilisées sur leur territoire. Voir M. Untersinger, « Coronavirus : en Europe, la ruée en ordre dispersé sur les applications de traçage », Le Monde, 18 avril 2020.
[88] Dans ses articles 7 et 8.
[89] M. Blanquet, Droit général de l’Union européenne, 11ème édition, Sirey, Paris, Dalloz, 2018, p. 759 et s.
[90] Nous renvoyons aux développements consacrés à ce thème dans notre étude « La judiciarisation du contrôle du respect de l’État de droit : la Cour de justice au chevet des juges nationaux », RTDE, 2020, p. 23.
[91] Nous pensons bien évidemment à la décision n° 2020–799 DC rendue le 26 mars 2020 par le Conseil constitutionnel qui a estimé, de manière très laconique, que les dispositions de la loi organique d’urgence pour faire face à l’épidémie de covid–19 étaient conformes à la Constitution alors même que celles–ci violent de manière évidente les règles de procédure de l’article 46 (voir not. M. Carpentier, « L’arrêt Heyriès au Conseil constitutionnel ? », JP blog, 4 avril 2020; P. Cassia, « Le Conseil constitutionnel déchire la Constitution », le blog de Paul Cassia, Mediapart, 27 mars 2020). Laurent Fabius n’a manifestement pas apprécié les critiques des juristes comme le prouvent ces propos : « j’invite les commentateurs qui ont cru pouvoir bâtir de grandes théories sur cette décision pour la critiquer, à commercer par la lire attentivement […]. Ces mêmes commentateurs auraient été mieux inspirés de s’attarder sur le fond de notre décision ». (Laurent Fabius, « Pas d’éclipse des principes fondamentaux du droit », propos recueillis par S. Durand–Souffland, Le Figaro, 17 avril 2020).
[92] Comme le démontre la lecture des ordonnances récemment rendues par le Conseil d’État en matière de référé–liberté (V.C. Saunier, « La position délicate du juge des référés face à la crise sanitaire : entre interventionnisme ambigu et déférence nécessaire », JP blog, 11 avril 2020).
[93] Considérant 32 du règlement (UE) 2016/679, précité.
[94] Comité national pilote d’éthique du numérique, « Réflexions et points d’alerte sur les enjeux d’éthique du numérique en situation de crise sanitaire aiguë », bulletin de veille n° 1, 7 avril 2020, p. 11. Voir : https://www.ccne-ethique.fr/sites/default/files/publications/bulletin-1-ethique-du-numerique-covid19-2020-04-07.pdf
[95] À ce titre, Paula Forteza et Baptiste Robert ont appelé à la mise en place d’une convention citoyenne du numérique sur le modèle de celle du climat. P. Forteza et B. Robert, « #StopCovid : une efficacité incertaine pour des risques réels », 18 avril 2020, disponible sur la plateforme Médium.
[96] StopCovid, Avis du Conseil national du numérique, 24 avril 2020, p. 18, disponible à cette adresse :
https://cnnumerique.fr/files/uploads/2020/2020.04.23_COVID19_CNNUM.pdf
[97] Voir sur ce point X. Bonnetain, A. Canteaut, V. Cortier et autres, « Le traçage anonyme, dangereux oxymore. Analyse de risques à destination des non–spécialistes », version du 21 avril 2020, disponible à l’adresse suivante : https://risques-tracage.fr/docs/risques-tracage.pdf
3. Quelques brèves réflexions autour des corona bonds et leurs enjeux juridiques[0]
À l´heure où « la pandémie de COVID-19 constitue un défi sans précédent pour l´Europe et l´ensemble de la planète »[1], les débats sur la possible gestion financière de la crise sanitaire envahissent naturellement le terrain politique et gagnent en visibilité. Parmi les diverses propositions visant à obvier à d´éventuelles dépenses excessives qui pourraient venir menacer l´économie de certains États membres de l´Union, l´une a tout particulièrement alimenté les discussions : les corona bonds. Cette option âprement débattue[2] fut évoquée dans une lettre du 25 mars adressée à Charles Michel, président du Conseil européen. Elle consisterait à émettre des titres de dette européens afin de se financer sur les marchés, ce qui reviendrait à une mutualisation temporaire de l´endettement au niveau de l´Union[3]. Plus précisément, une institution ou un mécanisme – par exemple la Commission européenne ou le Mécanisme européen de stabilité (MES) – ou un organe créé à cet effet « émettrait ces titres qui seraient garantis par l´ensemble des États participants », l´avantage étant qu´ainsi la « dette serait très sûre et permettrait d´emprunter à des taux très bas »[4].
Révélatrice du caractère politique hautement sensible de la problématique, l´hypothèse d´un partage de la dette à l´échelle européenne s´est aussitôt heurtée à une opposition clairement exprimée lors du Conseil européen extraordinaire du jeudi 26 mars, faisant réapparaître une ancienne ligne de fracture[5]. Pour l´instant, l´idée d´une responsabilité commune des États de la zone Euro s´agissant des dépenses destinées à combattre l´impact économique préjudiciable d´une crise – qu´elle soit monétaire ou sanitaire – s´est une nouvelle fois avérée trop ambitieuse, si bien que d´autres options ont été préférées pour le moment[6]. En effet, faute d´un consensus au sujet des corona bonds, les États membres de l´Union ont finalement opté pour des mesures moins controversées car appuyées sur des mécanismes et institutions existants. Plus exactement, les propositions figurant dans le communiqué de presse du Conseil en date du 9 avril[7] se fondent sur trois piliers[8] : un dispositif de soutien au chômage partiel[9] mis en place par la Commission européenne, 200 milliards d´euros de crédits sous forme de garanties par la Banque européenne d´investissement (BEI) et la possible activation du mécanisme européen de stabilité dont les aides octroyées sont désormais soumises à la seule exigence d´être utilisées afin de couvrir des coûts « directs ou indirects »[10] causés par la crise du COVID-19 et incombant aux systèmes de santé.
La thématique des corona bonds reste néanmoins particulièrement intéressante car si les enjeux tenant à la responsabilité financière incombant aux États membres de l´Union dans le cadre d´engagements européens s´avèrent déjà épineux sur le plan politique, ils le sont assurément tout autant du point de vue juridique. On peut observer à ce titre que les instruments d´aide variés mis en place dans le cadre de la crise de l´Euro ainsi que notamment toute une série de programmes de la Banque centrale européenne ont pu soulever d´importantes interrogations juridiques à la lumière desquelles les enjeux que représentent les corona bonds ressortent d´autant plus clairement. Ceux-ci se mesurent tant au niveau du droit de l´Union (I) qu´à celui du droit constitutionnel (II), l´exemple allemand étant particulièrement significatif.
I) Les corona bonds et les enjeux découlant du droit de l´Union
Il paraît tout particulièrement intéressant de s´interroger brièvement sur le sujet de la mutualisation des dettes à la lumière de l´article 125 TFUE[11], lequel dispose que ni l´Union, ni les États membres ne répondent « des engagements des administrations centrales, des autorités régionales ou locales, des autres autorités publiques ou d’autres organismes ou entreprises publics d’un (autre) État membre, ni ne les prend à sa charge, sans préjudice des garanties financières mutuelles pour la réalisation en commun d’un projet spécifique ». La question d´une éventuelle méconnaissance de la clause du no bail out, à nouveau soulevée dans le contexte des corona bonds, s´est notamment posée dans le cadre du programme OMT[12]. C´est en effet en partie au regard de sa conformité à l´article 125 TFUE que le programme OMT fut examiné. La question concrète était de savoir si un rachat d´obligations d´État en quantité illimitée pourrait en dernier lieu aboutir à la nécessaire recapitalisation de la Banque centrale européenne par les États membres de l´Union monétaire, conduisant alors à une redistribution du risque de responsabilité des contribuables d´un État membre de la zone Euro[13] sans légitimation démocratique[14]. Ce risque a cependant pu être atténué quant au programme OMT, notamment du fait qu´il était encadré comme il ressort spécialement des conclusions de l´avocat général[15]. En outre, une atteinte à l´article 125 TFUE ne découle pas déjà de la seule annonce de la BCE de racheter, le cas échéant, des obligations de façon illimitée [16].
Un autre programme de la BCE, le PSPP[17], a soulevé des nouvelles interrogations autour de l´article 125 TFUE. Comme l´a précisé la Cour de justice dans l´arrêt Weiss, l´hypothèse problématique était une nouvelle fois qu´ « une décision de la BCE prévoyant le partage, entre les banques centrales des États membres, de l’intégralité des pertes susceptibles d’être subies par l’une de ces banques centrales à la suite du défaut éventuel d’un État membre, dans un contexte où l’importance de ces pertes imposerait la recapitalisation de cette banque centrale »[18] risque d´être contraire, selon la Cour constitutionnelle allemande (CCA), aux articles 123 et 125 TFUE ainsi qu´à l´article 4, § 2, TUE, en lien avec l´art. 79 (3) de la Loi fondamentale[19]. Pour la juridiction de renvoi, un partage entre les banques centrales des États membres des pertes susceptibles d´être subies par l´une d´entre elles suite à l´éventuel défaut d´un État membre, notamment au cas où ces pertes seraient si importantes qu´une recapitalisation ne pourrait être évitée, soulève donc non seulement des problèmes de droit constitutionnel[20] mais présenterait aussi un risque de contrariété à l´article 125 TFUE. La Cour de justice estime cependant « que le droit primaire ne comprend pas de règles prévoyant le partage, entre les banques centrales des États membres, des pertes subies par l’une de ces banques centrales lors de la réalisation d’opérations d’open market », avant d´ajouter qu´« il est constant que la BCE a décidé de ne pas adopter une décision impliquant un partage de l’intégralité des pertes réalisées par les banques centrales des États membres lors de la mise en œuvre du PSPP. Ainsi que le souligne la juridiction de renvoi, la BCE n’a, à ce jour, prévu, s’agissant de telles pertes, que le partage de celles qui trouveraient leur origine dans des titres émis par des émetteurs internationaux »[21]. À l´instar de l´affaire OMT, la Cour de justice a donc une nouvelle fois conclu à l´absence d´éléments de nature à affecter la validité de la décision de la BCE au sujet d´un programme de rachat d´obligations sur les marchés secondaires et écarte l´hypothèse d´une éventuelle atteinte à l´article 125 TFUE[22].
On peut donc souligner l´acuité du débat alors même que la mutualisation des dettes n´était pas explicitement visée par les programmes de la BCE mais discutée au titre de ses éventuels effets secondaires. Les corona bonds, par contre, devraient faire l´objet de contestations autrement plus marquées au regard de leur compatibilité avec l´article 125 TFUE, surtout que la Cour de justice, dans le cadre du programme PSPP, a écarté l´invocation d´une atteinte alléguée à cette disposition justement au motif qu´aucun partage des dettes n´était prévu[23]. Quant aux corona bonds, il semble donc tout à fait notable que certains auteurs écartent sans ambages l´hypothèse de l´atteinte à la clause du no bail out[24] en arguant qu´ils n´équivaudraient pas à une mutualisation des dettes, au sens d´un bail out, mais constitueraient, dès le départ, des dettes mutuelles. L´idée étant moins de contribuer directement au budget des États membres, contrairement aux Eurobonds, mais plutôt de financer des projets communs[25], la question consiste dès lors à savoir si et dans quelle mesure les corona bonds pourraient être considérés comme constituant des garanties financières mutuelles au bénéfice d´un projet spécifique commun au sens de l´article 125, § 1, deuxième phrase TFUE[26]. Si cette conception des corona bonds semble avantageuse car l´interdiction d´une mutualisation de la dette ne serait pas méconnue, de sorte à éviter une révision du droit primaire, d´autres interrogations subsistent. L´on se bornera ici à indiquer que sous le prisme juridico-économique, cette vision semble avoir la tendance d´assouplir la frontière avec une augmentation du budget de la Commission aux fins de disposer d´une marge de manœuvre élargie s´agissant du financement de programmes de relance économique[27].
Le droit de l´Union et plus spécifiquement l´article 125 TFUE paraissent en tout cas laisser suffisamment de marges d´interprétation s´agissant de l´éventuelle mise en place des corona bonds. Les obstacles découlant du droit constitutionnel allemand qu´on exposera assez sommairement s´avèrent en revanche plus élevés.
II) Les enjeux de droit constitutionnel allemand concernant les corona bonds
C´est sous le prisme du maintien de la souveraineté budgétaire du Parlement fédéral qu´une mutualisation des dettes à l´échelle européenne par le biais des corona bonds risquerait de soulever d´importantes objections de droit constitutionnel allemand[28].
En vertu d´une jurisprudence constante, le législateur fédéral doit être et demeurer en mesure de prendre souverainement des décisions sur les recettes et dépenses de l´État allemand, indépendamment des institutions et autres États membres de l´Union[29], raison pour laquelle des « transferts étendus ou même généraux de missions et compétences du Parlement fédéral »[30] au profit de l´Union reviendrait, selon les juges, à vider de sa substance même la fonction légitimatrice du droit de vote ainsi qu´à porter atteinte au principe de démocratie[31].
Bien qu´elle admette que tous les engagements internationaux et européens ne sont pas de nature à menacer la souveraineté budgétaire du Parlement fédéral, il n´est guère surprenant que la juridiction constitutionnelle estime nécessaire « que la responsabilité d’ensemble demeure auprès du Bundestag allemand et que ce dernier dispose encore de marges de décision politiques suffisantes en ce qui concerne les recettes et les dépenses »[32]. C´est plus spécifiquement à la lumière de la souveraineté budgétaire que le Bundesverfassungsgericht est souvent revenu sur ce lien entre le nécessaire maintien de compétences d´une portée et d´une ampleur suffisante et son fondement normatif, le principe de démocratie. La souveraineté budgétaire, inaliénable du fait de son rattachement à la clause d´éternité de l´article 79 (3) LF au travers du principe de démocratie y étant visé[33], a donc des effets considérables sur la capacité de la République fédérale d´Allemagne (RFA) à se lier à des conventions internationales ou traités européens. Comme l´ont précisé les juges de Karlsruhe, « aucun mécanisme de droit international conventionnel permanent qui conduirait à une prise de garanties pour des choix de volonté d´autres États ne doit être crée, surtout s´ils sont liés à des conséquences difficilement calculables »[34].
Sur le plan substantiel, d´une part, la CCA est sans doute allée particulièrement loin s´agissant de la protection des compétences du Bundestag et fait preuve d´un degré d´exigence remarquable quant à l´encadrement constitutionnel d´engagements européens comme le traité MES ou les aides bilatérales pour la Grèce[35], même si la Cour a plus récemment accentué la marge d´appréciation étendue dont bénéficie le législateur fédéral[36]. Sur le plan procédural, d´autre part, il est notable que chaque citoyen est en mesure de contester, par le biais du recours constitutionnel individuel, une prétendue atteinte au noyau dur de l´article 79 (3) LF dans le contexte d´un engagement international ou européen en invoquant une violation du droit de vote ainsi érigé en levier[37].
Les problèmes constitutionnels liés à l´instauration des corona bonds se mesurent donc aisément car au-delà du fait que la responsabilité d´ensemble pour les recettes et dépenses allemandes doit continuer à relever du Bundestag, ce qui revient à dresser une limite infranchissable ancrée dans l´identité constitutionnelle inaliénable, la CCA se montre particulièrement sceptique dès lors que sont envisagés des mécanismes internationaux ou européens qui équivaudraient pour la RFA à endosser une responsabilité financière quant aux décisions librement prises par d´autres États membres. Un tel mécanisme est en tout cas constitutionnellement exclu lorsque les effets d´une prise de garantie sont difficiles à calculer et quand le Parlement fédéral allemand n´est plus en mesure d´exercer une influence suffisante sur la manière dont les moyens financiers accordés sont utilisés[38].
Dans le contexte actuel des débats politiques relatifs au corona bonds, il convient en fin de compte de garder à l´esprit que la marge de manœuvre qu´offre le droit constitutionnel allemand au regard d´un véritable endettement mutuel nous paraît encore sensiblement plus réduite que celle du droit de l´Union. Sans pour autant paraître exclue, toute forme d´obligations communes devrait faire l´objet d´un encadrement strict. En outre, une certaine conflictualité au niveau juridictionnel dans ce contexte n´est certainement pas à rejeter[39]. C´est donc dans l´optique de la préservation d´un fin équilibre entre solidarité, d´une part, et prise en compte des nombreux obstacles juridiques, de l´autre, que devra s´inscrire la recherche délicate d´un compromis politique.
[0] La présente contribution constitue une version allégée d´un article à paraître.
[1] Déclaration commune des membres du Conseil européen, 26 mars 2020.
[2] Cf. la présentation sur le site Toute l´Europe, Covid-19 : divisé, le Conseil européen offre une réponse timide à la crise économique, accessible sur https://www.touteleurope.eu/revue-de-presse/revue-de-presse-covid-19-divise-le-conseil-europeen-offre-une-reponse-timide-a-la-crise-economi.html.
[3] V. les explications de l´économiste F. Saraceno sur Toute l´Europe, Covid-19 : comment les « corona bonds » réveillent un vieux débat européen, à consulter sur https://www.touteleurope.eu/actualite/covid-19-comment-les-corona-bonds-reveillent-un-vieux-debat-europeen.html.
[4] Ibid. En effet, dans la mesure où les pays économiquement plus forts de la zone euro se porteraient garants pour l´argent emprunté au marché financier, les États avec un taux d´endettement élevé profiteraient des obligations communes du fait qu´ils obtiendraient des prêts à des conditions plus favorables auprès des investisseurs que si les obligations étaient émises individuellement par des États hautement endettés. V. aussi les explications sur le site internet de l´hebdomadaire allemand Der Spiegel, à consulter sur https://www.spiegel.de/wirtschaft/was-sind-corona-bonds-a-97258472-7638-454e-98d6-992c2146d233.
[5] Les États européens s´étaient déjà opposés sur ce point lors de la crise de l´euro.
[6] La question des corona bonds n´est plus évoquée dans le compte-rendu final de la réunion des ministres de l´Économie et des Finances du 9 avril (Report on the comprehensive economic policy response to COVID-19 pandemic). Il est en revanche question d´un fonds de sauvetage qui pourrait s´appuyer sur des instruments financiers innovants (innovative financial instruments) comme l´indique le document au point 19.
[7] Le compte-rendu est accessible uniquement en anglais sur le site https://www.consilium.europa.eu/fr/press/press-releases/.
[8] Le compte-rendu du Conseil distingue les mesures déjà prises au niveau des États membres, de l´Union et de la zone Euro (pts. 4 à 11) des instruments additionnels afin de répondre à la crise (pts. 12 à 22). Parmi les premières est évoquée la flexibilité des règles de l´Union, par exemple en matière d´aides d´État ou s´agissant du recours à la clause dérogatoire dans le cadre du pacte de stabilité et de croissance (pt. 8), mais aussi la politique monétaire et plus précisément le programme temporaire d´achats d´urgence face à la pandémie (temporary pandemic emergency purchase programme, PEPP) de la Banque centrale européenne (décision UE 2020/440 de la BCE du 24 mars 2020). Parmi les secondes, on trouve toute une série de propositions émanant d´institutions et organes de l´UE. Les trois piliers évoqués dans les communiqués de presse des institutions de l´UE (pour cette structure, v. par ex. la déclaration du président du Conseil européen du 10 avril au sujet de l´accord de l´Eurogroupe) font donc partie de cette seconde catégorie d´instruments (pts. 12 ss.).
[9] Soutien temporaire à l´atténuation des risques de chômage en situation d´urgence (SURE).
[10] Cf. le compte-rendu du Conseil préc. du 9 avril (pt. 16).
[11] Sujet qui est donc aussi ancien que l´Union monétaire comme le démontre l´insertion de cet article au droit primaire.
[12] Par une décision du Conseil des gouverneurs de la BCE en date du 6 sept. 2012 fut annoncé le possible achat, par la BCE, au titre des opérations monétaires sur titres (OMT), d´obligations émises par les États de la zone euro faisant face à des difficultés financières afin de garantir les liquidités de ces États. Cet achat d´obligations sur le marché secondaire était cependant conditionné par la participation des États en question à un programme d´ajustement macroéconomique (le Fonds européen de stabilité financière (FESF) ou le Mécanisme européen de stabilité (MES)). Pour une présentation de ces mesures et plus spécifiquement du contexte juridique du premier renvoi préjudiciel de la Cour constitutionnelle fédérale allemande à la Cour de justice, cf. F. C. Mayer, La décision de la Cour constitutionnelle fédérale allemande relativement au programme OMT, RTDE, 2014, p. 683.
[13] L´hypothèse d´une recapitalisation de la BCE par les États membres semble assez improbable car non seulement la Cour de justice a précisé qu´elle suspendrait le programme OMT avant de courir un risque d´insolvabilité (cf. note 16). Comme l´indique S. Simon, Grenzen des Bundesverfassungsgerichts im europäischen Integrationsprozess, Mohr Siebeck, 2016, (p. 260), il y aurait au surplus la possibilité de recourir au fonds de réserve général de la BCE ou aux revenus monétaires en vertu de l´art. 33.2 du Protocole n°4 sur les statuts du système européen de banques centrales et de la Banque centrale européenne avant de devoir envisager une telle recapitalisation.
[14] Cf. S. Simon, note préc., p. 260, avec des références supplémentaires.
[15] V. les conclusions de l´avocat général Villalón du 14 janv. 2015 sous Gauweiler (aff. C-62/14, ECLI:EU:C:2015:7) qui précise que dans l´hypothèse où la BCE « détecterait une augmentation excessive du volume de titres de dette publique émis par un État membre faisant l’objet du programme OMT, elle en suspendrait l’exécution », de manière à ce qu´elle « ne supporterait pas des risques qui l’exposent à un scénario d’insolvabilité » (pt. 199).
[16] En ce sens S. Simon, op. cit., p. 262, qui observe qu´une atteinte serait au contraire avérée s´il s´agissait d´un rachat ciblé et systématique qui reviendrait à un financement d´État.
[17] Contrairement au programme OMT, le PSPP, décidé le 4 mars 2015, fut véritablement mis en œuvre, puis arrêté en décembre 2018. En tant que composante d´un programme plus large (Expanded Asset Purchase Programme – EAPP), l´objectif de ce programme de la BCE était de mener une politique d´ « assouplissement quantitatif » (Quantitative Easing – QE) afin d´augmenter la liquidité dans la zone euro par le biais de l´acquisition de titres de créance. Pour une explication plus détaillée des deux programmes et leurs différences, v. M. Gentzsch, op. cit., p. 279 (spéc. 283).
S´agissant de la distinction entre politique économique et monétaire, la Cour de justice, dans son arrêt du 11 déc. 2018, aff. C-493/17, Weiss, ECLI:EU:C:2018:1000, renouvelle sur ce point sa position adoptée dans les arrêts Pringle (arrêt du 27 novembre 2012, aff. C‑370/12, EU:C:2012:756, pt. 56) et OMT (préc., pt. 52) selon laquelle « une mesure de politique monétaire ne peut être assimilée à une mesure de politique économique en raison du seul fait qu’elle est susceptible de produire des effets indirects pouvant également être recherchés dans le cadre de la politique économique » (pt. 61).
[18] CJ, arrêt Weiss préc., pt. 159.
[19] Cour constitutionnelle allemande, arrêt du 18 juill. 2017, 2 BvR 859/15 e.a., PSPP, pt. 134. En ce sens déjà CCA, 14 janv. 2014, 2 BvR 2728/13 e.a., OMT I, pt. 102.
[20] V. infra.
[21] CJ, arrêt Weiss préc., pt. 162 et 163.
[22] Il reste toutefois à savoir si les juges a quo suivront cette interprétation dans l´arrêt prévu pour le 5 mai 2020 ou si l´issue, cette fois-ci, s´avèrera plus conflictuelle.
[23] V. spéc. les pts. 162 et 163 de l´arrêt Weiss préc.
[24] V. notamment M. Goldmann, The Case for Corona Bonds : A proposal by a Group of European Lawyers, VerfBlog, 5 avril 2020, https://verfassungsblog.de/the-case-for- corona-bonds/.
[25] Ibid.
[26] M. Goldmann (ibid.) propose de scinder les corona bonds en deux volumes financiers, l´un étant destiné à des projets impliquant tous les États membres, l´autre prenant la forme d´aides individualisées au profit d´États membres. Au titre du premier, il évoque notamment le domaine de la santé et plus précisément le financement d´un réseau pour la production, le stockage ainsi que la distribution d´équipements essentiels. Concernant cette même catégorie, il se réfère aussi à des investissements destinés à la recherche au niveau de la santé publique et de la médecine et à la création de centres européens de compétence.
[27] V. notamment le discours prononcé par la présidente de la Commission von der Leyen lors de la session plénière du Parlement européen sur l´action coordonnée de l´Union européenne dans le cadre de la lutte contre la pandémie de coronavirus et ses conséquences, où elle a évoqué le besoin « d´un plan Marshall pour le redressement de l´Europe ». Elle s´appuie ainsi sur le budget européen comme principal moyen « pour reconstruire notre économie après la pandémie ». Cf. sur le site de la Commission, https://ec.europa.eu/commission/presscorner/detail/fr/speech_20_675.
[28] Pour un aperçu, se reporter à M. Nettesheim, „Euro-Rettung“ und Grundgesetz – Verfassungsrechtliche Vorgaben für den Umbau der Währungsunion, EuR, 2011, p. 765. V. également S. Simon, op. cit., spéc. p. 68 s.
[29] V. seulement en ce sens CCA, arrêt du 18 mars 2014, 2 BvR 1390/12 e.a., arrêt ESM au principal, pts. 163 s.
[30] CCA, arrêt du 7 sept. 2011, 2 BvR 987/10 e.a., EFSF, pt. 98 (propre traduction). La juridiction constitutionnelle allemande qualifie le pouvoir public (Herrschaftsgewalt) exercé par les citoyens au travers du droit de vote comme étant « déterminant » (maßgeblich) quant à la structure de l´État constitutionnel allemand.
[31] V. par ex. CCA, arrêt du 30 juin 2009, 2 BvE 2/08 e.a., Lisbonne : « Si la fixation de la nature et du montant des impositions touchant les citoyens était transférée de manière considérable au niveau supranational, il y aurait un transfert des droits du Bundestag en matière budgétaire, transfert qui violerait dans leur substance le principe de démocratie et le droit de vote aux élections du Bundestag allemand » (pt. 256). V. aussi plus récemment 2 BvR 1685/14 e.a. du 30 juill. 2019 (préc.), pt. 123.
[32] CCA, arrêt Lisbonne préc., pt. 256.
[33] L´article 79 (3) LF interdit notamment toute révision de la Constitution qui porterait atteinte aux principes énoncés aux articles 1 et 20 de la LF, ce dernier article prévoyant les principes fondateurs de l´État constitutionnel allemand : République, État fédéral, État social, État de droit et aussi la démocratie.
[34] CCA, arrêt ESM préc., pt. 165 (propre traduction, nous mettons en gras). V. déjà l´arrêt EFSF préc., au pt. 128.
[35] Bien que la jurisprudence Lisbonne, où la juridiction a même énuméré les domaines de compétence devant rester au niveau national et qui étaient donc déclarés insusceptibles de tout transfert, ne soit pas reprise.
[36] Qui concerne tant l´appréciation de la probabilité pour la RFA de devoir répondre des garanties suite à l´approbation d´un engagement européen ou international que l´estimation de ses capacités économiques. V. par ex. CCA, arrêt EFSF préc., spéc. pt. 132. En ce sens aussi CCA, arrêt ESM préc., pt. 175.
[37] Précisons que cette constriction jurisprudentielle revient en fin de compte à admettre l’existence d’un droit individuel à la démocratie dans une logique de subjectivisation d´un des principes constitutionnels fondamentaux objectifs de l´article 20 LF, a priori exclus du recours constitutionnel. Parmi les nombreuses critiques, v. seulement F. C. Mayer, qui relève ainsi que le recours constitutionnel a été conçu dans l’optique de protéger les droits fondamentaux au sens strict. Cf. Rashomon à Karlsruhe, RTDE, 2010, p. 77 (79).
[38] Se reporter à P. M. Huber, Das Verständnis des Bundesverfassungsgerichts vom Kompetenzgefüge zwischen der EU und den Mitgliedstaaten, in T. Möllers/F.C. Zeitler (dir.), Europa als Rechtsgemeinschaft – Währungsunion und Schuldenkrise, Mohr Siebeck, 2013, p. 229 (241).
[39] Dès lors que la problématique du maintien de la souveraineté budgétaire du Bundestag est examinée au regard du droit de vote, en tant que levier procédural, et donc plus généralement à la lumière du principe de démocratie, on rejoint le terrain de l´identité constitutionnelle dont le non-respect peut donner lieu à une censure unilatérale et donc à une déclaration d´inapplicabilité d´un acte de droit dérivé sur le territoire de la RFA, comme la CCA l´indique dans l´arrêt Lisbonne (pt. 241).
Vous pouvez citer cet article comme suit :
« Covid-19 & UE – le bulletin II de la Chaire Desaps »
in Journal du Droit Administratif (JDA), 2020 ;
Actions & réactions au Covid-19 ; Art. 298.
À propos de l’auteur