Recherche scientifique (hors santé) : comment assurer le respect des droits des personnes ?

31 janvier 2022

Les personnes dont les données sont utilisées dans le cadre de recherches scientifiques disposent de droits afin d’en conserver la maitrise. Comment concilier protection des droits des personnes et mise en œuvre des recherches ? La CNIL apporte des précisions et présente les aménagements possibles.

Quels sont les droits en principe applicables pour les personnes concernées par un projet de recherche ?

L’information des personnes concernées

Ce que cela n’est pas : l’information proposée aux personnes pour leur communiquer les résultats de la recherche à laquelle elles ont participées. Cette information, si elle est une pratique de certaines équipes de recherche, ne constitue pas un droit au sens du règlement général sur la protection des données (RGPD).

Ce que cela désigne : l’information qu’il faut donner aux personnes dont les données sont traitées afin, notamment de leur permettre de :

connaître le pourquoi de la recherche et la raison de la collecte de leurs données ;

Exemple : je suis un chercheur qui travaille pour le centre de recherche des mobilités douces et j’enregistre les informations relatives à vos habitudes de déplacement pour une étude du centre sur les modes de mobilité des jeunes en région Bretagne.

comprendre le traitement qui sera fait de leurs données et ainsi leur apporter toutes garanties quant à la confidentialité de leurs données ;

Exemple : vos données ne seront accessibles qu’aux membres autorisés de l’équipe de recherche pendant la durée de l’enquête.

exercer leurs droits s’ils le souhaitent.

Exemple : si pendant les deux ans à compter de la collecte, vous souhaitez faire valoir les droits que vous détenez conformément au RGPD, vous pouvez écrire à exemple[@]etudemobilité.bzh.

À quel moment cette information doit-elle intervenir ?

Dans le cadre de la collecte :

il faut informer les personnes au moment du recueil des données lorsque les données personnelles sont directement collectées auprès d’elles, par exemple, dans le cadre d’un questionnaire en ligne, d’un entretien téléphonique ou en face-à-face ;
en cas de collecte indirecte de données (utilisation de données personnelles collectées par des tiers, collecte des données sur une plateforme via l’API de celle-ci), il faut, sauf dérogations, informer les personnes concernées dès que possible, et au plus tard, dans le délai d’un mois, ou bien :
- au moment de la première communication avec la personne concernée si le chercheur contacte ladite personne pour son projet de recherche ;
- ou, s’il est prévu de communiquer les données à un autre destinataire, au moment même de cette communication.
il est également nécessaire d’informer les personnes en cas de modification substantielle du traitement ou d’un évènement particulier (ajout d’une nouvelle finalité au traitement de recherche, ajout de nouveaux destinataires ou si une violation de données a lieu).

En pratique, quel doit être le contenu de l’information délivrée ?

Les informations devant être délivrées sont énumérées ci-dessous. Il s’agit ici de délivrer des exemples pratiques d’informations, sans prétendre à l’exhaustivité.

Dans tous les cas :

l’identité et les coordonnées du responsable de traitement, par exemple, l’organisme de recherche ;
les finalités de la recherche ;

Quand il n’est pas possible de déterminer entièrement la finalité de la recherche au moment de la collecte des données, il est recommandé de présenter ces finalités de façon plus générale.

la base légale du traitement de données ;
les destinataires ou catégories de destinataires des données (y compris les sous-traitants) ;
la durée de conservation des données (en distinguant éventuellement la durée de conservation des données directement identifiantes et celle des données pseudonymisées) ou les critères utilisés pour déterminer cette durée. En effet la durée de conservation pourrait ne pas être nécessairement exprimée en chiffres (ex. 2 ans) mais correspondre à l’arrivée d’un évènement spécifique tel que le renouvellement des données de l’enquête ou un temps déterminé après la dernière valorisation prévue des résultats ;
les droits des personnes concernées (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements) ;
les coordonnées de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles.

Selon les cas :

lorsque certaines informations sont facultatives, il faut distinguer dans le formulaire de collecte, par exemple via des astérisques, les données dont la fourniture est obligatoire de celles qui ne le sont pas et de préciser les conséquences éventuelles en cas de non-fourniture des données (exemple : s’il s’agit d’une enquête de la statistique publique à caractère obligatoire, des amendes administratives peuvent être prononcées en l’absence de réponse aux questions obligatoires dans le délai imparti) ;
la description des intérêts légitimes poursuivis par le responsable du traitement si le traitement est fondé sur cette base légale (exemple : l’intérêt de développer telle technologie pour mieux sécuriser les transactions électroniques) ;
le fait que les données sont requises par la réglementation, notamment si l’enquête revêt un caractère obligatoire ;
l’existence d’un transfert vers un pays hors UE (exemple : si je travaille sur ces données avec une équipe de recherche basée au Japon) ;
les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée ;

Qu’est-ce qu’une décision automatisée ?

Pour le RGPD, une « décision automatisée » est une décision prise à l’égard d’une personne, par le biais d’algorithmes appliqués à ses données personnelles, sans qu’aucun être humain n’intervienne dans le processus.

A priori, une telle décision n’interviendra pas dans le cadre d’un traitement à finalité de recherche scientifique.

Exemple : dans le cas d’une étude sur les politiques publiques d’indemnisation du congé paternité, s’il est possible qu’elle conduise à des modifications ultérieures de ces politiques publiques, ce n’est pas le traitement de recherche lui-même qui provoquera automatiquement, sans aucune intervention humaine, des modifications sur les indemnités perçues par les parents ayant répondu à l’étude.

le droit au retrait du consentement à tout moment, si le base légale du traitement est le consentement des personnes ;
les autres droits applicables au traitement, en fonction de sa base légale : droit d’opposition et droit à la portabilité.

Certaines informations supplémentaires sont à donner si les données sont collectées auprès d’un tiers et non auprès des personnes concernées, par exemple en récupérant une base de données personnelles auprès d’une autre équipe de recherche (cas de collecte indirecte) : indiquer aux personnes quelles catégorie de données sont recueillies les concernant, et grâce à quelle source en indiquant notamment si elles sont issues de sources accessibles au public.

Exemple : tel réseau social librement accessible, ou encore les registres cadastraux.

Comment faire en pratique ?

Il est recommandé de hiérarchiser les informations fournies aux personnes concernées en fonction de la nature, des circonstances, de la portée et du contexte du traitement.

Dans tous les cas les informations suivantes doivent être prioritairement indiquées :

l’identité du responsable de traitement ;
les finalités ;
les droits des personnes.

Dans certains cas, il peut être nécessaire d’ajouter une information essentielle telle que la prise de décision automatisée ou la mise à disposition des données à des partenaires commerciaux, ou les principales conséquences du traitement pour les personnes concernées.

Il est aussi possible de procéder à une information en plusieurs niveaux.

Exemple : les informations priorisées sont données à la personne concernée au moment de la création de son compte, directement sur la page d’inscription, et sur cette même page, un lien renvoie vers une notice d’information complète.

Sous quelle forme dois-je fournir cette information ?

L’information à délivrer doit être « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».

En pratique, il est recommandé d’utiliser un vocabulaire simple, avec des phrases courtes et en employant si possible le style direct. Il importe d’adapter l’information au public visé et de prêter une attention particulière à l’égard des enfants et des personnes vulnérables. Des vidéos, animations ou bandes dessinées peuvent être un moyen adapté pour rendre l’information compréhensible. En pratique, l’information peut être délivrée à la personne concernée via un support électronique ou un support papier comme une affichette.

Si j’identifie que les personnes concernées ne parlent pas (toutes) couramment la langue française, il est opportun de proposer des supports d’information en d’autres langues. Si le projet de recherche porte sur des personnes identifiées comme ayant des difficultés dans la lecture et/ou l’écriture, une information en « FALC » (facile à lire et à comprendre) peut être proposée.

Exemple de mentions d’information :

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier / un traitement par [identité et coordonnées du responsable de traitement] pour une recherche visant à [finalités du traitement]. La base légale du traitement est [base légale du traitement].

Les données collectées seront communiquées aux seuls destinataires suivants : [destinataires des données nominatives / destinataires des données pseudonymisées le cas échéant].

Les données seront conservées pendant [durée de conservation des données prévue par le responsable du traitement ou critères permettant de la déterminer avec suffisamment de précisions (ex : X années après la dernière publication scientifique, dont l’organisme indique une date projetée)].

Vous pouvez obtenir communication des données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données. (en fonction de la base légale du traitement, mentionner également : Vous pouvez retirer à tout moment votre consentement au traitement de vos données ; Vous pouvez également vous opposer au traitement de vos données ; Vous pouvez également exercer votre droit à la portabilité de vos données)

Consultez le site cnil.fr pour plus d’informations sur vos droits.

Pour exercer ces droits ou pour toute question sur le traitement de vos données dans ce dispositif, vous pouvez contacter (le cas échéant, notre délégué à la protection des données (DPO) ou le service chargé de l’exercice de ces droits) : [adresse électronique, postale, coordonnées téléphoniques, etc.] 

Si vous estimez, après nous avoir contactés, que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.

Les autres droits des personnes concernées à respecter

Le droit d’accès : les personnes concernées peuvent me demander si un organisme détient des données les concernant, et demander à ce que ces données leurs soient communiquées pour en vérifier le contenu.
Le droit de rectification : les personnes concernées peuvent demander la rectification des informations inexactes ou incomplètes les concernant.
Le droit d’effacement : les personnes concernées peuvent demander l’effacement des données personnelles qui les concernent et qui se trouvent en possession de l’organisme.
Le droit à la limitation : les personnes concernées peuvent demander à ce que soit gelée temporairement l’utilisation de certaines ou de la totalité de leurs données.
Le droit d’opposition : les personnes concernées peuvent s’opposer, à tout moment, et pour des raisons tenant à leur situation particulière, au traitement de leurs données. Dans ce cas, l’organisme ne doit plus traiter leurs données, sauf s’il démontre qu’il existe des motifs légitimes et impérieux pour poursuivre le traitement (ou s’il justifie que les données sont nécessaires pour la constatation, l’exercice ou la défense de droits en justice).

Exemple : si le chercheur mène, sur la base légale de l’intérêt légitime, pour le compte d’un organisme privé une recherche visant à analyser l’impact de certaines politiques en utilisant des sondages, alors les personnes ayant répondu à ces sondages pourront s’opposer à ce que leurs données soient traitées.

En effet, le droit d’opposition n’existe que lorsque le traitement de recherche est fondé sur l’exécution d’une mission d’intérêt public, ou sur sa nécessité pour des intérêts légitimes. Si le traitement de recherche repose sur le consentement des personnes, ce droit n’existe donc pas, mais la personne concernée conserve toujours la possibilité de retirer son consentement, ce qui aboutit à la même conséquence.

Le droit de retirer son consentement à tout moment : les personnes peuvent, à tout moment, retirer leur consentement à ce que leurs données soient traitées, par le biais d’une modalité simple et équivalente à celle utilisée pour recueillir le consentement (exemple : si le recueil s’est fait en ligne, il devrait pouvoir être retiré en ligne également).

Attention, le droit de retirer son consentement à tout moment n’existe que lorsque mon traitement repose sur le consentement des personnes (et pas sur l’exécution d’une mission d’intérêt public, ou sur sa nécessité pour mes intérêts légitimes).

Exemple : si des données personnelles ont été directement collectées auprès de personnes au moyen d’entretiens en leur faisant remplir un formulaire afin de recueillir leur consentement, celles-ci pourront à tout moment le retirer. Dans cette hypothèse, il ne sera alors plus possible de traiter les données de ces personnes.

Le droit à la portabilité : les personnes concernées doivent pouvoir, quand le traitement de recherche est fondé sur leur consentement (entendu comme base légale), récupérer les données personnelles fournies dans un format lisible et couramment utilisé.

Point de vigilance

De manière générale, le RGPD n’impose pas au responsable de traitement de collecter des données supplémentaires permettant d’identifier les personnes concernées, notamment pour qu’elles exercent leurs droits, s’il n’en a pas besoin au vu de la finalité du traitement de recherche (article 11). Dans cette hypothèse, la personne doit alors en être informée pour qu’elle puisse fournir des indications identifiantes au responsable de traitement si elle souhaite exercer ses droits afin de lui permettre, dans la mesure du possible, de retrouver les données qui la concernent.

Dans quelles conditions est-il possible de déroger à certains des droits dont bénéficient les personnes participant à mon étude ?

Point de vigilance
Il convient d’informer préalablement la personne que ses droits font l’objet de restrictions et d’expliquer les motifs du refus de l’exercice d’un droit aux personnes concernées qui en ont fait la demande.

Droit à l’information

Si les données sont collectées directement

Il est nécessaire d’informer les personnes concernées, sauf si elles disposent déjà de ces informations. L’exemple ci-dessus peut être utilisé.

Si les données sont collectées indirectement

Cas n° 1 : la personne concernée a déjà les informations, il n’est pas nécessaire de l’informer à nouveau.

En pratique, cette hypothèse correspond par exemple à celle où les données des personnes concernées ont été collectées par une université pour un suivi de cohorte à l’année n et où le chercheur les réutilise pour les comparer avec les résultats de n+1, si les personnes avaient été averties de la durée du suivi.

Cas n°2 : lorsque le chercheur travaille sur des données personnelles qui ont été initialement recueillies pour un autre objet (exemple : un chercheur travaille sur un jeu de données collectées par une institution publique pour accomplir sa mission, puis mis en open data), le droit ne s’applique pas :

si la fourniture des informations normalement prévue se révèle impossible, ou exigerait des efforts disproportionnés, sous réserve que des garanties et mesures appropriées soient mises en place ;
ou dans la mesure où informer individuellement les personnes concernées est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement.

Dans ces cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

Quelles sont ces garanties et mesures appropriées ?

Ces garanties et mesures visent à assurer la mise en place de mesures techniques et organisationnelles garantissant un niveau élevé de sécurité, en particulier pour assurer le respect du principe de minimisation des données. Elles peuvent comprendre la pseudonymisation, dans la mesure où les finalités peuvent être atteintes de cette manière. Si l’anonymisation est possible, cette solution doit bien entendu être recherchée. Elles peuvent consister en la réalisation d’une AIPD, la réduction du nombre de données collectées et de la période de conservation.

En pratique, le caractère disproportionné des efforts nécessaires à la fourniture d’information s’apprécie au cas par cas pour chaque traitement. Peuvent être pris en compte :

le nombre élevé de personnes concernées ;
l’ancienneté des données personnelles traitées (plus de dix ans par exemple) ;
la difficulté de réidentifier les personnes concernées (exemple : données issues de bases comprenant uniquement des données pseudonymisées, sans table de correspondance/concordance) ;
la difficulté de retrouver leurs coordonnées (adresse postale non connue). En revanche, si les adresses mails, il parait plutôt aisé de les informer.

Le caractère impossible ressortirait du même faisceau, à cette nuance près qu’il serait dans ce cas impossible de retrouver les données nominatives ou de contact.

Dans ces cas, quand les personnes ne peuvent pas être individuellement informées que leurs données sont traitées, il est opportun de prévoir une information publiquement disponible, générale. Celle-ci peut être faite par différents vecteurs :

publication sur le site web de l’université, de l’institution de recherche ;
publication dans un journal, une newsletter ;
affichage dans les locaux, etc.

Multiplier les supports (panneau d’affiche, lettre, mail, site web, etc.) est une bonne pratique si le contexte s’y prête, et ce d’autant plus si le nombre de personnes concernées est important.

Cas n° 3 : il n’est pas non plus nécessaire d’informer les personnes concernées lorsque :

l’obtention ou la communication des informations sont expressément prévues par le droit (celui de l’Union européenne ou le droit français) et que celui-ci prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ;
les données personnelles doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit (de l’Union européenne ou français), y compris une obligation légale de secret professionnel.