Données personnelles et recherche scientifique : quelle articulation dans le RGPD ?

Travaillant en milieu universitaire, j’ai pu constater que les chercheurs se posent beaucoup de questions quant aux conséquences de l’entrée en vigueur du RGPD (Règlement Général de Protection des Données [1]) sur les activités de recherche scientifique, lorsqu’elles impliquent des traitements de données personnelles.

La réponse n’est pas simple à donner, car le texte du règlement est particulièrement complexe et il évoque à de nombreux endroits les activités de recherche. Mais une lecture attentive permet d’arriver à la conclusion que, comme c’est le cas pour les traitements réalisés à des fins archivistiques, le RGPD prévoit un régime dérogatoire pour les activités de recherche scientifique, destiné à faciliter les traitements de données personnelles en la matière.

Tout l’enjeu consiste donc à cerner la portée de ces dérogations et d’établir ce qu’elles permettent exactement aux chercheurs de faire, afin de sécuriser les pratiques. Cette articulation entre protection des données personnelles et activités de recherche est d’une grande importance, car sans ce régime dérogatoire, il serait très difficile pour les chercheurs de monter des projets impliquant des traitements de données personnelles.

A défaut, la recherche risquerait même de tomber dans la dépendance vis-à-vis de grandes plateformes privées pour l’accès à des données exploitables. On voit d’ailleurs déjà un tel processus commencer à s’installer, avec Facebook par exemple qui annonçait la semaine dernière la remise d’un important corpus de données à Social Science One, une commission « indépendante » de recherche mise en place avec le soutien de la firme. Or ce type de montage soulève de nombreuses questions, puisque les chercheurs sont bien dans ce cas structurellement « dépendants » de la plateforme pour obtenir la matière première de leurs travaux. Dans un autre registre, on commence aussi à voir des intermédiaires se positionner pour faire l’interface entre des individus leur fournissant des données personnelles et des projets de recherche, avec la promesse de les rémunérer pour cet usage (voir cet exemple récent en matière de santé). Il y a alors glissement vers la patrimonialisation et la monétisation des données, une pente sur laquelle ni les individus, ni la recherche n’ont, à mon sens, intérêt à se laisser entraîner…

D’où l’importance de ces dérogations prévues par le RGPD, car elles offrent à la recherche publiques des garanties pour assurer son indépendance sans pour autant sacrifier l’impératif de protéger les droits fondamentaux des personnes. Ce dernier point est important, car il faut se souvenir que toute l’affaire Cambridge Analytica, par exemple, est partie d’un projet de recherche qui a fini par déraper avec à la clé les conséquences dramatiques que l’on sait. On ne saurait donc permettre aux chercheurs de tout faire sans garde-fou, mais la difficulté consiste justement à trouver le bon équilibre.

Le texte ci-dessous constitue une première exploration de ce régime dérogatoire prévu par le RGPD au bénéfice des activités de recherche scientifique, sachant que ces dérogations figurent en partie dans le règlement comme des options activables par les États au niveau national. Il importe donc également de se référer à la loi Informatique et Libertés, telle que modifiée le 20 juin 2018[2] pour connaître l’étendue exacte des règles particulières applicables en matière de recherche scientifique.

N’hésitez pas à intervenir dans les commentaires de ce billet pour discuter de ces analyses, car certaines des dispositions du RGPD sont complexes à interpréter et méritent sans doute discussion.

Table des matières

I Place des activités de recherche dans le RGPD

1) Importance reconnue aux activités de recherche par le RGPD

2) Périmètre de la « recherche scientifique » dans le RGPD

II Dérogation au principe de limitation des finalités

1) Admission d’une certaine indétermination des finalités des traitements à des fins de recherche

2) Compatibilité de la finalité de recherche avec une finalité initiale différente

III Dérogation au principe de limitation de la durée de conservation

1) Possibilité d’une conservation au-delà de la réalisation de la finalité du traitement

2) Articulation avec les traitements archivistiques

IV Absence de dérogation au principe de minimisation

1) Soumission de la recherche au principe de minimisation

2) Incitation à la pseudonymisation des données

V Possibilité de traitement de données dites « sensibles »

1) Dérogation à l’interdiction du traitement des données sensibles

2) Cas particulier des recherches sur des données de santé

VI Dérogations aux droits des personnes

1) Pas d’activation en France de toutes les dérogations prévues par le RGPD

2) Dérogation au droit à l’information

3) Dérogations au droit à l’oubli et au droit d’opposition

VII Dérogation prévue pour l’expression universitaire

1) Une possibilité ouverte par le RGPD…

2) … mais non activée en France ?

I Place des activités de recherche dans le RGPD

1) Importance reconnue aux activités de recherche par le RGPD

Le RGPD souligne explicitement l’importance et l’intérêt pour la société des traitements effectués à des fins de recherche scientifique ou historique (c. 156 et 157) et le texte insiste sur la légitimité des activités de recherche, à condition qu’elles respectent les conditions de protection des données personnelles fixées par le règlement :

(c. 157) Pour faciliter la recherche scientifique, les données à caractère personnel peuvent être traitées à des fins de recherche scientifique sous réserve de conditions et de garanties appropriées prévues dans le droit de l’Union ou le droit des États membre.

(c. 159) Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique, le présent règlement devrait également s’appliquer à ce traitement.

Tout comme pour les traitements réalisés à des fins archivistiques ou statistiques, un équilibre doit être opéré avec les droits et libertés des personnes concernées (c. 156) :

Le traitement des données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement.

Mais le RGPD admet que les Etats-membres puissent prévoir dans leur législation nationale des dérogations à certains des droits que les personnes peuvent faire valoir vis-à-vis des responsables de traitements (c. 156) :

Les États membres devraient être autorisés à prévoir, dans des conditions spécifiques et moyennant des garanties appropriées pour les personnes concernées, des dispositions particulières et des dérogations concernant les exigences en matière d’information et les droits à la rectification, à l’effacement, à l’oubli, à la limitation du traitement, à la portabilité des données et le droit d’opposition lorsque les données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

On verra cependant plus loin (partie VI) que, contrairement à ce qui a été retenu pour les traitements réalisés à des fins archivistiques, la France n’a pas choisi d’activer qu’un petit nombre de ces options lors de la mise en conformité de la loi Informatique & Libertés intervenue en juin dernier.

2) Périmètre de la « recherche scientifique » dans le RGPD

Le considérant 159 donne une définition de ce que recouvre la notion de « recherche scientifique » dans le RGPD, en appelant à adopter une interprétation extensive du terme :

Aux fins du présent règlement, le traitement de données à caractère personnel à des fins de recherche scientifique devrait être interprété au sens large et couvrir, par exemple, le développement et la démonstration de technologies, la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé. Il devrait, en outre, tenir compte de l’objectif de l’Union mentionné à l’article 179, paragraphe 1, du traité sur le fonctionnement de l’Union européenne, consistant à réaliser un espace européen de la recherche. Par « fins de recherche scientifique », il convient également d’entendre les études menées dans l’intérêt public dans le domaine de la santé publique.

On peut en déduire que ce terme renvoie dans le règlement aussi bien à la recherche publique que privée. C’est une différence par rapport aux traitements réalisés à des fins archivistiques, pour lesquels le RGPD prend le soin de préciser qu’ils doivent être effectués « dans l’intérêt public ». Le SIAF (Service Interministériel des Archives de France) en conclut que les dérogations prévues pour les activités archivistiques ne s’appliquent qu’aux services d’archives publiques tenant leur compétence en vertu d’une disposition légale (et non aux archives privées[3]).

II Dérogations au principe de limitation des finalités

1) Admission d’une certaine indétermination des finalités des traitements à des fins de recherche

L’article 5[4] prévoit que les données personnelles ne peuvent être collectées que pour des « finalités déterminées, explicites et légitimes » qui doivent en principe être définies en amont du traitement et être portées à la connaissance des personnes concernées (articles 13 et 14[5]).

Néanmoins, le considérant 33 admet qu’il n’est pas toujours possible de déterminer à l’avance la finalité exacte d’un traitement effectué à des fins de recherche scientifique :

Souvent, il n’est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.

Les chercheurs disposent donc d’une certaine marge de manœuvre plus pour formuler les finalités des traitements de données collectées d’une manière moins précise que ce qui est exigé en principe par le RGPD. Il peut être admis par exemple que cette finalité s’élargisse ou se précise au fil du projet de recherche et en fonction de ses nécessités.

C’est le seul cas où le RGPD tolère une « indétermination » de la finalité initiale d’un traitement de données.

2) Compatibilité de la finalité de recherche avec une finalité initiale différente

Le RGPD exige que la finalité d’un traitement soit « déterminée », mais il admet qu’un responsable de traitement puisse en changer du moment que les nouvelles finalités-ci restent « compatibles » avec la finalité initiales de la collecte de données.

Néanmoins pour ce qui est de la recherche scientifique, le texte instaure une forme de présomption aux termes de laquelle le changement de finalité sera systématiquement réputé compatible avec la finalité initiale du moment que le traitement ultérieur est effectué à des fins de recherche scientifique (c. 50) :

Le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifiques ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible.

Il en résulte une dérogation au principe de limitation des finalités, reprise à l’article 5[6] du RGPD :

[…] le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;

La loi Informatique & Libertés contient une disposition similaire à son article 6. 2°, mais elle ajoute que le traitement ultérieur devra être exercé « dans le respect des principes et des procédures prévues au présent chapitre [respect des conditions de licéité des traitements de données], au chapitre IV [formalités préalables] et à la section 1 du chapitre V [information des personnes] ainsi qu’au chapitre IX [dispositions particulières aux données de santé] et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées. »

Cette dérogation emporte des conséquences importantes, car elle permet sans doute à des chercheurs de se rapprocher de responsables de traitement ayant collecté de manière licite des données personnelles afin que celles-ci leur soient remises pour conduire des recherches. Les chercheurs ne sont donc pas obligés de collecter par eux-mêmes les données sur la base du consentement des personnes, ils peuvent aussi passer par des tiers afin de se faire confier des données par le responsable du traitement initial, puisque le changement de finalité à des fins de recherche est admis par le RGPD. On peut imaginer que ce type de partenariats de recherche passent par l’établissement de conventions aux termes desquelles le fournisseur de données et l’équipe de recherche se reconnaissent comme co-responsables du traitement.

On verra plus loin (partie VI.2) que cette latitude ne délie cependant pas les chercheurs du respect des droits des personnes (notamment le droit à l’information), même si une certaine marge de manœuvre est là-aussi admise par le texte.

III Dérogation au principe de limitation de la durée de conservation

1) Possibilité d’une conservation au-delà de la réalisation de la finalité du traitement

Le RGPD prévoit à son article 5 que les données ne peuvent être conservées « sous une forme permettant l’identification des personnes concernées » que pendant « une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Le considérant 39 précise même que la durée de conservation devrait être limitée au «  strict minimum  ».

Néanmoins là encore, une dérogation est admise à ce principe de limitation de la durée de conservation lorsque les traitements sont réalisés à des fins de recherche scientifique :

les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation)

On en déduit que les données peuvent être conservées au-delà de la durée qui a été nécessaire pour atteindre la finalité de recherche (par exemple, au-delà de la durée d’un projet de recherche déterminé) du moment qu’elles sont ensuite conservées uniquement pour être utilisées à des fins de recherche.

2) Articulation avec les traitements archivistiques

L’article 36 de la loi Informatiques et Libertés qui reprend cette dérogation est plus explicite, notamment parce qu’il précise le lien entre cette extension de la durée de conservation et le passage des documents contenant les données en archives définitives :

Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l’article 6 qu’en vue d’être traitées à des fins archivistiques dans l’intérêt public, à des fins de cherche scientifique ou historique ou à des fins statistiques ; le choix des données ainsi conservées est opéré dans les conditions prévues à l’article L. 212-3 du code du patrimoine.

Pour mémoire, l’article L. 212-3 du code du patrimoine[7] prévoit ceci :

Lorsque les archives publiques comportent des données à caractère personnel collectées dans le cadre de traitements régis par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ces données font l’objet, à l’expiration de la durée prévue au 5° de l’article 6 de ladite loi, d’une sélection pour déterminer les données destinées à être conservées et celles, dépourvues d’utilité administrative ou d’intérêt scientifique, statistique ou historique, destinées à être éliminées.

Les catégories de données destinées à l’élimination ainsi que les conditions de cette élimination sont fixées par accord entre l’autorité qui a produit ou reçu ces données et l’administration des archives.

Il en résulte que les projets de recherche doivent bien prévoir une durée déterminée de conservation des données qu’ils collectent, en lien avec la finalité retenue. Mais une fois cette durée écoulée, les données peuvent être confiées à un service d’archives disposant de la compétence légale pour procéder à un passage des documents en archives définitives, après une opération de tri. Ce sont ensuite ces archives définitives, constituées à partir des matériaux de recherche, qui permettent une conservation au-delà de la durée initiale.

Dans le cadre des universités, ce sont – en principe – les archives départementales qui jouent ce rôle de réception des archives définitives, les services d’archives des universités ne pouvant traiter que des archives intermédiaires. Néanmoins, il est possible d’obtenir des archives départementales des dérogations pour être en mesure de conserver des données de recherche comme des archives définitives. C’est d’ailleurs une hypothèse d’autant plus probable que les archives départementales se concentrent en général sur les archives administratives des universités et n’ont pas encore de politique déterminée en matière de données de recherche.

IV Absence de dérogation au principe de minimisation

1) Soumission de la recherche au principe de minimisation

Si le principe de limitation impose de traiter des données collectées en se limitant à une finalité initialement déterminée, le principe de minimisation (nouveauté du RGPD) oblige de son côté à ne traiter que les données strictement nécessaires pour atteindre cette finalité.

De ce point de vue, les activités de recherche ne bénéficient d’aucune dérogation et le considérant 156 insiste même au contraire sur l’importance de respecter le principe de minimisation en matière de recherche pour respecter les droits des personnes :

Le traitement des données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement. Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données.

On verra plus loin (partie VI) que le RGPD admet que les activités de recherche puissent déroger dans une certaine mesure aux droits que les personnes peuvent faire jouer vis-à-vis des responsables de traitement, mais le texte insiste sur le fait que même dans ce cas, il convient de respecter strictement le principe de nécessité et de minimisation :

Les conditions et garanties en question peuvent comporter des procédures spécifiques permettant aux personnes concernées d’exercer ces droits si cela est approprié eu égard aux finalités du traitement spécifique concerné, ainsi que des mesures techniques et organisationnelles visant à réduire à un minimum le traitement des données à caractère personnel conformément aux principes de proportionnalité et de nécessité.

On peut en déduire que le RGPD admet des dérogations aux droits des personnes en matière de recherche, mais uniquement à la condition que les chercheurs appliquent en amont de manière stricte le principe de minimisation (ne collecter que ce qui est nécessaire et seulement si c’est vraiment nécessaire).

2) Incitation à la pseudonymisation des données

Afin de mettre en œuvre le principe de minimisation, le RGPD encourage les chercheurs à recourir – autant que faire se peut – à la pseudonymisation des données (article 89[8]) :

Le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière.

Pour rappel, la pseudonymisation est définie de la sorte dans le RGPD (article 4[9]) :

le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

La pseudonymisation constitue une mesure de sécurisation promue par le RGPD, mais elle ne doit pas être confondue avec l’anonymisation (opération consistant à rendre impossible l’identification des personnes à partie des données). Les données pseudonymisées restent bien soumises à l’application du RGPD, à la différence des données anonymisées.

V Possibilité de traitement de données dites « sensibles »

1) Dérogation à l’interdiction du traitement des données sensibles

Le RGPD liste à son article 9[10] un ensemble de données dites « particulières » dont le traitement est par principe interdit :

Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

Néanmoins, l’article liste ensuite une série de 10 exceptions en vertu desquelles ces types de données peuvent faire l’objet de traitements, dont une concerne la recherche scientifique :

j) le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l’article 89, paragraphe 1, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

On notera que cette exception est présentée comme distincte de celle basée sur le « consentement explicite des personnes » :

la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ;

Il en résulte que l’exception figurant au j) permet le traitement de données dites « sensibles » à des fins de recherche sans le consentement des personnes concernées, à condition de mettre en œuvre des mesures pour la sauvegarde de leurs droits fondamentaux.

La loi Informatiques & Libertés reprend cette exception présentée comme suit à son article 8 :

11° Les traitements nécessaires à la recherche publique au sens de l’article L. 112-1 du code de la recherche, mis en œuvre dans les conditions prévues au 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, après avis motivé et publié de la Commission nationale de l’informatique et des libertés rendu selon les modalités prévues à l’article 28 de la présente loi.

On peut en conclure que le traitement des données dites sensibles à des fins de recherche nécessite encore de solliciter la CNIL pour avis, alors que ces formalités préalables ont été annulées par ailleurs par le RGPD et remplacées par des mesures d’accountability.

2) Cas particulier des recherches sur des données de santé

Les données de santé font l’objet d’une définition au considérant 35 du RGPD :

Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée.

Elles figurent aussi dans la liste des données « particulières » dont le traitement est en principe interdit. Néanmoins, le texte insiste aussi sur l’intérêt de pouvoir traiter des données de santé dans le cadre de la recherche (considérant 157) :

En combinant les informations issues des registres, les chercheurs peuvent acquérir de nouvelles connaissances d’un grand intérêt en ce qui concerne des problèmes médicaux très répandus tels que les maladies cardiovasculaires, le cancer et la dépression.

En pratique, la loi Informatiques & Libertés contient à son chapitre IX une série d’articles (61 à 65) relatifs au traitement des données de santé, notamment dans le cadre de la recherche scientifique. Ces dispositions mettent en œuvre les « garanties appropriées pour les droits et libertés de la personne concernée » exigées par le RGPD. Ce cadre existe depuis plusieurs années et la CNIL vient d’actualiser les formalités auxquelles doivent se soumettre les projets de recherche pour pouvoir traiter des données de santé[11], notamment un certain nombre de méthodologies de référence (MR-001 à MR-006).

Suivre ces méthodologies de référence dispense les chercheurs d’avoir à demander une autorisation à la CNIL, mais ils restent obligés de faire une déclaration préalable à l’autorité, alors que ces formalités ont été globalement supprimées par ailleurs avec l’entrée en vigueur du RGPD.

VI Dérogations aux droits des personnes

1) Pas d’activation en France de toutes les dérogations prévues par le RGPD

L’article 89[12] du RGPD prévoit que les Etats-membres peuvent activer des options au niveau de leur loi nationale afin de fixer en matière de recherche scientifiques des dérogations aux droits que les personnes peuvent faire valoir vis-à-vis des responsables de traitement :

Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union ou le droit d’un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

Les articles cités correspondent aux droits suivants : droit d’accès de la personne concernée (art. 15), droit de rectification (art. 16), droit à la limitation du traitement (art. 18), droit d’opposition (art. 21).

Or lorsque l’on regarde la manière dont la loi Informatiques & Libertés a été modifiée en juin dernier pour mise en conformité avec le RGPD, on constate que la France a choisi de ne pas activer ces options en matière de recherche.

L’article 70-7 indique que :

Les traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sont mis en œuvre dans les conditions prévues à l’article 36.

Et cet article 36 est rédigé comme suit :

Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l’article 6 qu’en vue d’être traitées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ; le choix des données ainsi conservées est opéré dans les conditions prévues à l’article L. 212-3 du code du patrimoine.

Lorsque les traitements de données à caractère personnel sont mis en œuvre par les services publics d’archives à des fins archivistiques dans l’intérêt public conformément à l’article L. 211-2 du code du patrimoine, les droits prévus aux articles 15, 16 et 18 à 21 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ne s’appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités. Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

Il en résulte que la France a bien activé les dérogations aux droits des personnes en matière de traitement de données à des fins archivistiques, mais pas à des fins de recherche scientifique. Les personnes sont donc fondées à faire valoir les droits indiqués ci-dessus (accès, rectification, limitation, opposition) et les projets de recherche doivent donc s’organiser de manière à satisfaire les demandes qui leur seraient adressées en ce sens.

Ce choix restrictif de la France n’empêche pas que certaines dérogations existent pour d’autres droits des personnes, car elles figurent intrinsèquement dans le RGPD sous la forme d’exceptions prévues en faveur des activités de recherche.

2. Dérogation au droit d’information

Au titre des articles 13 et 14[13] du RGPD, les responsables de traitement sont tenus de procéder à une information préalable des personnes, lorsque la collecte des données se fait auprès d’eux sur la base du consentement ou auprès de tiers.

Lorsque les projets de recherche collectent eux-mêmes les données auprès des personnes en leur demandant leur consentement, ils ne peuvent déroger à cette obligation d’information des individus et doivent porter à leur connaissance les éléments suivants (condition impérative pour recueillir un consentement dit « éclairé ») :

a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

b) le cas échéant, les coordonnées du délégué à la protection des données ;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;

e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; et

f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.

Néanmoins, lorsque la collecte des données se fait au contraire auprès de tiers, des dérogations au droit à l’information des personnes sont prévues. Or nous avons vu plus haut (partie II.2) que cette hypothèse risque de ne pas être marginale, attendu que les chercheurs sont en mesure de récupérer des données auprès de tiers les ayant collectées sur une base licite (puisque le changement de finalité à des fins de recherche scientifique est déclaré par le RGPD dans tous les cas compatible avec la finalité initiale de la collecte).

Dans cette hypothèse, les passages ci-dessous tirés de l’article 14 du RGPD[14] formulent en premier lieu une obligation d’information des personnes, puis une dérogation pour les projets de recherche qui n’a pas une portée absolue, mais dépend des circonstances :

  1. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

  2. Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où :

la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l’article 89, paragraphe 1, ou dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

Cela signifie qu’en cas de récupération de données auprès de tiers pour conduire une recherche, il est possible de ne pas informer les personnes, si cet acte d’information s’avère impossible à réaliser ou exigerait des efforts disproportionnés. On peut imaginer par exemple que ce sera le cas si un trop grand nombre de personnes devaient être contactées sans que l’on dispose des informations nécessaires pour le faire.

Dans une telle hypothèse, des précautions particulières sont à prendre pour protéger les personnes et la fin du 5.b) implique notamment de respecter une obligation de transparence en informant publiquement des traitements réalisés.

3. Dérogations au droit à l’oubli et au droit d’opposition

Le droit à l’oubli ou droit à l’effacement est une nouveauté du RGPD qui permet aux individus d’exiger que les responsables de traitement suppriment des données les concernant sans avoir à apporter de justification. Néanmoins, des exceptions sont prévues par le texte, dont une est applicable à la recherche scientifique (article 17[15]) :

Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire :

à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ;

Un responsable de traitement de données à des fins de recherche scientifique peut donc refuser de faire droit à une demande d’effacement, mais il ne s’agit pas d’une faculté discrétionnaire : il doit être en mesure de prouver que cette suppression empêche la recherche projetée ou la compromet gravement.

Il est assez improbable qu’anonymiser ou supprimer les données d’une seule personne au sein d’un panel compromette en soi un projet de recherche. Par contre, la répétition des demandes de suppression de la part d’individus différents peut finir par affaiblir la pertinence d’un jeu de données. Difficile cependant de savoir si des chercheurs pourraient refuser de faire droit à des demandes de suppression à partir d’une certaine quantité de données supprimées sur la base du droit à l’effacement ou si chaque demande doit être examinée en tant que telle, sans prendre en considération l’ensemble des données utilisée par la recherche.

Il existe aussi des mesures applicables au droit d’opposition, mais qui sont plus limitées encore (article 21[16]) :

Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public.

Il n’y a pas de dérogation au droit d’opposition dans le cadre des activités de recherche, mais la personne qui en fait la demande doit la motiver en invoquant des raisons tenant à sa situation particulière. Il reste ensuite théoriquement possible pour les chercheurs de refuser de faire droit à ce type de demande d’opposition, mais uniquement si le traitement qu’ils réalisent est « nécessaire à l’exécution d’une mission d’intérêt public », ce qui sera vraisemblablement peu fréquent concernant les activités de recherche.

VII Dérogation prévue pour l’expression universitaire

1) Une possibilité ouverte par le RGPD…

Le RGPD prévoit à son considérant 153 une exception que les Etats membres de l’union peuvent mettre en place pour concilier la liberté d’expression et d’information et la protection des données personnelles :

Le droit des États membres devrait concilier les règles régissant la liberté d’expression et d’information, y compris l’expression journalistique, universitaire, artistique ou littéraire, et le droit à la protection des données à caractère personnel en vertu du présent règlement. Dans le cadre du traitement de données à caractère personnel uniquement à des fins journalistiques ou à des fins d’expression universitaire, artistique ou littéraire, il y a lieu de prévoir des dérogations ou des exemptions à certaines dispositions du présent règlement si cela est nécessaire pour concilier le droit à la protection des données à caractère personnel et le droit à la liberté d’expression et d’information, consacré par l’article 11 de la Charte.

La formule « expression universitaire » ne fait pas l’objet de plus ample définition dans le texte, mais le recours au terme « expression » laisse penser qu’il s’agit de couvrir le fait que les chercheurs citent des noms de personnes ou des informations personnelles dans leurs publications[17], ainsi que des références d’autres publications dans leur bibliographie.

2) … mais non activée en France ?

La France a choisi d’implémenter cette exception dans son droit national, mais seulement de manière restrictive, comme on peut le lire à l’article 67 de la loi Informatique et Liberté de 1978[18] :

Le 5° de l’article 6, les articles 8, 9, 32, et 39, le I de l’article 40 et les articles 68 à 70 ne s’appliquent pas aux traitements de données à caractère personnel mis en oeuvre aux seules fins :

1° D’expression littéraire et artistique ;

2° D’exercice, à titre professionnel, de l’activité de journaliste, dans le respect des règles déontologiques de cette profession.

On constate que l’article couvre les traitements réalisés à des fins d’expression littéraire et artistique ou d’exercice de l’activité de journaliste, mais pas « l’expression universitaire », alors même que cet usage fait l’objet d’une mention distincte dans le RGPD. Il en résulte une lacune que le législateur aurait pu combler à l’occasion de la mise en conformité de la loi Informatique et Libertés en juin dernier, mais il a vraisemblablement omis de le faire.

Néanmoins, le RGPD spécifiant que les États « devraient » prévoir des dispositions pour concilier la liberté d’expression et la protection des données personnelles laisse penser que les usages liés à l’expression universitaire sont bien couverts, en dépit du silence de la loi française.

[1] https://www.cnil.fr/fr/reglement-europeen-protection-donnees

[2] https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee

[3] https://siafdroit.hypotheses.org/792

[4] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5

[5] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article13

[6] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5

[7] https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006074236&idArticle=LEGIARTI000006845568&dateTexte=&categorieLien=cid

[8] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre9#Article89

[9] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4

[10] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article9

[11] https://www.cnil.fr/fr/recherches-dans-le-domaine-de-la-sante-la-cnil-adopte-de-nouvelles-mesures-de-simplification

[12] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre9#Article89

[13] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article13

[14] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article14

[15] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17

[16] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article21

[17] A noter que ce droit existe, mais qu’il est assez strictement encadré, notamment par les délais de communication et de réutilisation des informations contenus dans des documents d’archives qui font l’objet de restrictions et nécessitent l’obtention de dérogations par les chercheurs accordées (ou non) par les services d’archives publiques pour protéger la vie privée des personnes.

[18] https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee

Via un article de calimaq, publié le 18 juillet 2018

©© a-brest, article sous licence creative common info