Recherche scientifique (hors santé) : focus sur certaines catégories de données personnelles

31 janvier 2022

Certains traitements mis en œuvre dans la recherche scientifique portent sur des catégories de données faisant l’objet d’un encadrement spécifique comme les données sensibles et/ou relatives aux condamnations pénales et aux infractions. La CNIL clarifie les conditions dans lesquelles il est possible de les collecter et de les utiliser.

Parmi les données personnelles qui peuvent être utilisées dans le cadre d’une recherche, seules les données nécessaires pour atteindre l’objectif fixé devront être traitées. Par exemple, concernant des données socio-démographiques, il est recommandé de collecter, dans la mesure du possible, plutôt des tranches d’âges que la date de naissance, plutôt la région que l’adresse.

Certaines données nécessitent une vigilance particulière. Les données sensibles et les données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes font l’objet de protections spécifiques.

Bonne pratique

Une vigilance particulière devrait être portée aux protocoles de recherche incluant des questionnaires qui comportent des champs libres.

La CNIL recommande, lorsque cela est possible, de pré-renseigner ces zones de champs libres avec une information spécifique sur la manière dont ils doivent être complétés afin que seules les données strictement nécessaires à la recherche soient collectées.

Le NIR ou numéro de sécurité sociale

Les données sensibles

Les données dites sensibles regroupent les informations :

portant sur les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale (par exemple la pratique d’un culte, le fait qu’une personne soit membre d’un parti politique, etc.) ;
concernant la santé (exemple : les comportements de prévention, le renoncement à des soins, les traitements médicaux, etc.) ;
concernant la vie sexuelle ou l’orientation sexuelle (existence de relations sexuelles, les préférences sexuelles, etc.) ;
relatives aux :
- données génétiques (exemple : ADN, caryotype) ;
- ou aux données biométriques aux fins d’identifier une personne physique de manière unique (exemple : empreintes digitales, , gabarit vocal, empreintes palmaires, système veineux, frappe de clavier ou autres caractéristiques comportementales telles que la signature manuscrite ou encore la démarche ;
révélant la prétendue origine raciale ou ethnique.

En revanche, certaines informations, bien qu’elles soient confidentielles (par exemple le secret industriel, le secret de l’instruction, etc.), ne sont pas considérées comme étant des données sensibles au sens du RGPD.

A noter

Certains traitements nécessaires à la conduite d’études sur la mesure de la diversité des origines peuvent porter sur des données objectives, telles que la langue parlée ou l’origine géographique au sein d’un territoire national. Cependant, comme l’a jugé le Conseil constitutionnel, ils ne peuvent reposer sur l'origine ethnique ou la prétendue « race ».

Il est possible de collecter des données subjectives (exemple : le « ressenti d’appartenance », via des questions sur l’image de soi ou les expériences de discriminations et le regard des autres) si celle-ci n’a pas pour objet, directement ou indirectement, de classifier les personnes interrogées en fonction soit de leur origine ethnique ou prétendument raciale déclarée, soit d’un référentiel ethno-racial.

Exemples :

Dans le cadre d’une recherche, les utilisations de données personnelles suivantes contiennent des données sensibles :

un projet de recherche visant à étudier des pages de personnalités publiques sur les réseaux sociaux qui contiennent des propos rattachés à certaines opinions politiques (orientation politique) ;
un projet de recherche consistant à interroger des personnes sur leurs comportements sexuels (collecte de données relatives à la vie sexuelle et à l’orientation sexuelle) ;
un projet de recherche relatif à l’étude du rapport à la laïcité et aux pratiques religieuses (convictions religieuses) ;
un projet de recherche visant à développer un algorithme de reconnaissance faciale (données biométriques).

Attention : une donnée a priori non sensible peut toutefois le devenir en cas de recoupement d’informations.

Exemple : des recherches portant sur la des véhicules pourraient révéler des convictions politiques réelles ou supposées, des convictions religieuses et/ou des données relatives à la santé par l’étude des habitudes de déplacement et du stationnement sur le parking de lieux particuliers (locaux d’un parti politique, fréquentation de lieux de culte, etc.).

Si le RGPD pose un principe d’interdiction du traitement de ces données, des exceptions, présentées ci-dessous, sont toutefois prévues.

Quatre exceptions à cette interdiction peuvent être mobilisées pour la recherche (la dernière exception ci-dessous ne concerne que les traitements dans le domaine de la recherche publique). Ces exceptions se distinguent de la base légale définie pour l’ensemble du traitement :

La personne concernée a donné son consentement explicite à l’utilisation de ces données pour un ou des objectifs spécifiques

Pour être valide, le consentement soit libre, spécifique, éclairé et univoque.

Si un accord est donné pour être contacté dans le cadre d’une enquête, celui-ci ne peut pas être considéré comme étant un consentement valable au sens du RGPD, s’il ne remplit pas les conditions explicitées ci-dessus.

De même, ne peuvent être considérés comme valables les consentements recueillis au moyen d’une case précochée ou les consentements « groupés » (un seul consentement demandé pour plusieurs traitements distincts).

Les données sensibles sont manifestement rendues publiques par la personne concernée

La notion de « données manifestement rendues publiques par la personne concernée » concerne notamment les contenus se rapportant à la personne qui les a, délibérément, divulgués. Par exemple, on pourrait estimer que cela ne concerne pas les commentaires publiés par un tiers sur un réseau social.

Exemple : des opinions politiques tenues par un candidat à une élection lors d’une émission télévisée constituent des données manifestement rendues publiques par la personne concernée.

Les données présentes sur les réseaux sociaux

Selon le Comité européen de la protection des données (CEPD), les éléments suivants peuvent être pertinents pour aider à évaluer si les données ont été manifestement rendues publiques par la personne concernée :

le paramétrage par défaut de la plate-forme de médias sociaux (c'est-à-dire si la personne concernée a fait une action pour changer ces paramètres privés par défaut en paramètres publics) ; ou
la nature de la plate-forme de médias sociaux (c'est-à-dire si cette plate-forme a vocation à connecter des connaissances proches avec la personne concernée ou à nouer des relations intimes (comme les sites de rencontres), ou s'il est destiné à fournir un plus large éventail de relations interpersonnelles, telles que les relations professionnelles, ou le microblogging, le partage de médias, les réseaux sociaux plateformes de partage d'avis en ligne, etc. ; ou
l'accessibilité de la page où les données sensibles sont publiées (c'est-à-dire si les informations sont accessibles au public ou si, par exemple, la création d'un compte est nécessaire avant d'accéder aux informations) ; ou
la visibilité de l’information sur le caractère public des contenus publiés par les personnes concernées (exemple : c'est-à-dire s'il y a une bannière continue sur la page ou si le bouton de publication informe la personne concernée que les informations seront rendues publiques…) ; ou
si la personne concernée a elle-même publié les données sensibles, ou si, à l’inverse, les données ont été publiées par un tiers (exemple : une photo publiée par un ami qui révèle des données sensibles) ou déduites.

Le CEPD note que la présence d'un seul élément peut ne pas toujours suffire à établir que les données ont été « manifestement » rendues publiques par la personne concernée. En pratique, une combinaison de ces ou d'autres éléments peut devoir être prise en compte pour pouvoir démontrer que la personne concernée a manifesté clairement l'intention de rendre les données publiques.

La recherche est nécessaire pour des motifs d’intérêt public importants

Cette exception concerne principalement les recherches mis en œuvre par les autorités publiques. Elle peut néanmoins autoriser la mise en œuvre de traitements par des organismes privés, s’ils poursuivent une mission d’intérêt public ou sont dotés de prérogative de puissance publique.

Le devra démontrer:

la condition de « nécessité » pour la mission d’intérêt public ;
la présence de motifs d’intérêt public importants ;
que l’intérêt public est défini par le droit national ou le droit européen.

Pour mobiliser cette exception, la loi Informatique et Libertés exige un texte, par exemple un décret en Conseil d’État après avis de la CNIL.

L’utilisation des données est nécessaire à la recherche publique

Certaines utilisations de données peuvent être nécessaires à la recherche publique, sous réserve que des motifs d'intérêt public important les rendent nécessaires (nécessite un avis de la CNIL). Pour être considérée comme une recherche publique, celle-ci doit respecter certains critères précisés dans le code de la recherche.

La recherche privée, qui ne rentre pas dans les critères définis dans le code de la recherche, ne peut donc pas mobiliser cette exception prévue par la loi Informatique et Libertés. Par conséquent, pour ces traitements, des données sensibles ne pourront être collectées seulement en vertu des exceptions mentionnées plus haut. En effet, l’article 9.2-j du RGPD relatif à la recherche tant publique que privée n’est pas encore adapté dans la loi française : il n’est donc pas possible de mobiliser cet article.

Rappel

La collecte de données sensibles est par ailleurs un critère permettant d’apprécier si une analyse d’impact relative à la protection des données (AIPD) doit être réalisée.

Les données relatives aux condamnations pénales, infractions et mesures de sûreté connexes

Quelles données sont concernées ?

Cette comprend :

les données qualifiées comme telles par une autorité compétente (exemple : la condamnation de M. X à une peine d’emprisonnement de 2 ans pour fraude fiscale) ;
ou celles collectées dans le but d’établir l’existence ou de prévenir la commission d’infractions (décision dite « PSG Football » du Conseil d’État).

Exemples :

une recherche ayant pour objectif de répertorier des infractions sur la base de la lecture de décisions de justice contient de telles données (cas des données « qualifiées comme telles par l’autorité compétente ») ;
en revanche, une recherche menée via des entretiens pour savoir si les personnes interrogées ont l’habitude d’être en excès de vitesse sur une certaine portion de route (hors cas où ces excès auraient été sanctionnés) ne met pas en œuvre un traitement de données d’infraction (cas des données non « collectées dans le but d’établir l’existence d’infractions »).

Les conditions pour traiter cette catégorie de données

Ces données, particulièrement sensibles, font l’objet d’un encadrement particulier. Les catégories d’utilisateurs pouvant accéder à ces données dans un cadre de recherche sont notamment :

les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales (à l’inverse, les acteurs de la recherche privée appartenant à un organisme qui ne gère pas un service public ne peuvent donc pas collecter de telles données) ;
les réutilisateurs des informations publiques figurant dans les décisions de justice mises à la disposition du public sous réserve que les traitements mis en œuvre n'aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées par ces traitements ;
les associations d’aide aux victimes conventionnées par le ministère de la Justice qui mettraient en œuvre une recherche scientifique dans le cadre strictement nécessaire à leur mission.