De nombreuses recherches scientifiques en sciences humaines et sociales utilisent les données personnelles.
Si la réglementation en vigueur (RGPD, loi Informatique et libertés) prévoit bien ces finalités associées à des dérogations et des exceptions pour permettre de tels traitements, il n’est pas toujours facile de s’y retrouver dans les diverses exigences liées à celle-ci.
La CNIL vient donc de publier une série de fiches pratiques pour ces traitements spécifiques, qui devrait s’avérer indispensables pour la mise en conformité de tout traitement de recherche.
Outre les contraintes communes à tout traitement de données à caractère personnel (inscription du traitement dans le registre ad hoc, réalisation d’une analyse de risque sur la vie privée pour les traitements considérés comme sensibles), les spécificités attachées aux traitements de recherche portent principalement sur :
- Les bases légales mobilisables (nécessaires avant toute mise en œuvre de traitements) : consentement – libre, spécifique, éclairé et sans équivoque – des personnes concernées, l’exécution d’une mission d’intérêt public ou les intérêts légitimes du responsable de traitement ;
- Une finalité de recherche qui peut être a posteriori: le RGPD indique (articles 5 et 89) que les finalités de recherche ne sont pas incompatibles avec les finalités initiales d’un traitement, à partir du moment où ces recherches ne donnent pas lieu à des prises de décision à l’égard des personnes concernées. Il est par exemple possible d’accéder à des données administratives (impôts, prestations…) pour effectuer ces travaux, même si la collecte des données n’avait pas mentionné la recherche dès le départ ;
- Une durée de conservation des données qui, si elle peut être assez longue moyennant les mesures de sécurité appropriées et compte tenu des particularités de la recherche scientifique (suivi long, relectures avant publications, etc.), ne peut être illimitée ;
- Garantir la minimisation des données : ne traiter que des données dont on a réellement besoin. De ce principe de minimisation découle, pour les traitements de recherche, la pseudonymisation quasi-systématique de façon à rendre difficile la réidentification des personnes. Typiquement, il s’agit de supprimer les noms, prénoms et adresses des personnes ;
- L’obligation d’information des personnes et du respect de leurs droits s’agissant des données les concernant : même s’il est parfois impossible d’avertir individuellement les personnes concernées du traitement que l’on compte faire à partir de leurs données – ou que cela nécessiterait des moyens disproportionnés – une information générale doit être délivrée (par voie d’affichage, sur les sites internet, dans une newsletter) ;
- Garantir la sécurité du traitement, notamment en matière de confidentialité des données traitées (y compris dans les échanges de données) et de sauvegarde : gérer les habilitations d’accès, assurer la traçabilité, sécuriser les équipements, etc.
Les traitements de recherche dans le domaine de la santé font, eux, l’objet d’une réglementation dédiée.
[En savoir plus]