Recherche scientifique (hors santé) : les mesures de sécurité et de confidentialité

31 janvier 2022

Le RGPD impose la mise en œuvre de mesures garantissant la sécurité et la confidentialité des données personnelles traitées à des fins de recherche scientifique.

La mise en œuvre des principes de sécurité n’est jamais une démarche anodine. Il est donc recommandé de travailler de façon concertée avec les personnes ressources des institutions, telles que les délégués à la protection des données (DPO), responsables de la sécurité des systèmes d’information (RSSI) et personnels des services informatiques, qui travaillent à la mise en place des mesures techniques et organisationnelles de protection des données et à l’évaluation des risques. Par ailleurs, les organismes sont encouragés à fournir des outils et procédures facilitant au quotidien la conformité des pratiques et activités de recherche de leurs personnels.

Les grands principes présentés ici peuvent être retrouvés de façon plus détaillée dans le guide la CNIL « la sécurité des données personnelles » et dans « le guide RGPD du développeur ».

Encadrer la collecte de données

Gérer les accès aux données

Il est essentiel de s’assurer que seuls les utilisateurs autorisés puissent accéder aux données personnelles dont ils ont besoin. Pour cela, une politique d’accès aux données, même simple, doit être mise en œuvre.

Authentifier les utilisateurs

Chaque utilisateur doit être doté d’un identifiant qui lui est propre et doit s’authentifier avant tout accès à des données personnelles. Les mécanismes permettant de réaliser l’authentification des personnes sont catégorisés selon qu’ils font intervenir :

ce que l’on sait, par exemple un mot de passe ;
ce que l’on a, par exemple une carte à puce ;
une caractéristique qui nous est propre, par exemple une empreinte digitale, ou la manière de tracer une signature manuscrite.

Il est en particulier recommandé de définir un identifiant unique par utilisateur et de ne pas utiliser de comptes partagés entre plusieurs utilisateurs.

Dans le cas d’une authentification basée sur des mots de passe, il est également conseillé de respecter les recommandations de la CNIL, notamment en stockant les mots de passe de façon sécurisée.

Ce qu’il faut éviter

• Communiquer son mot de passe à autrui ;

• Stocker ses mots de passe dans un fichier en clair (non chiffré), sur un papier ou dans un lieu facilement accessible par d’autres personnes ;

• Enregistrer ses mots de passe dans son navigateur sans mot de passe maître ;

• Utiliser des mots de passe ayant un lien avec soi (nom, date de naissance, etc.) ;

• Utiliser le même mot de passe pour des accès différents ;

• Conserver les mots de passe proposés par défaut ;

• S’envoyer par e-mail ses propres mots de passe.

Gérer les habilitations

Définir des profils d’habilitation est une étape essentielle pour limiter les accès aux seules données dont un utilisateur a besoin. En pratique, il s’agit ainsi de circonscrire cet accès des utilisateurs aux seules données strictement nécessaires en fonction des tâches et domaines de responsabilité de chacun : organisation des travaux de recherche (projet interne, collaboratif, etc), durée de la recherche (analyse, publication, etc), etc.

Une attention particulière doit également être apportée à la suppression des permissions d’accès des utilisateurs dès qu’ils ne sont plus habilités à accéder à une ressource informatique ou un équipement (en cas de mobilité professionnelle par exemple), ainsi qu’à la fin de leur contrat. Une revue régulière des habilitations peut permettre d’identifier et de supprimer les comptes non utilisés et de réaligner les droits accordés sur les fonctions de chaque utilisateur.

Ce qu’il faut éviter

• Créer ou utiliser des comptes partagés par plusieurs personnes ;

• Accorder à un utilisateur plus de privilèges que nécessaire ;

• Oublier de supprimer les comptes utilisateurs des personnes ayant quitté l’organisme ou ayant changé de fonction.

Tracer les accès aux données

En fonction des recherches menées, du nombre de personnes pouvant accéder aux données et du degré de sensibilité de celles-ci, il peut être pertinent de mettre en œuvre un système de traçabilité des accès et de prévoir des procédures pour gérer les incidents. Il s’agit, en particulier, de pouvoir réagir en cas de violation de données (atteinte à la confidentialité, l’intégrité ou la disponibilité) et notamment de déterminer l’origine d’un tel incident (accès frauduleux, utilisation abusive, etc).

Un système de journalisation (c’est-à-dire un enregistrement dans des « fichiers journaux » ou « logs ») des activités des utilisateurs est ainsi utile pour tracer les accès des utilisateurs aux données en incluant leur identifiant, la date et l’heure de leur connexion, la date et l’heure de leur déconnexion et éventuellement le détail des actions effectuées, les types de données consultées, la référence de l’enregistrement concerné, etc. Il est nécessaire d’informer les utilisateurs de la mise en place d’un tel dispositif de journalisation.

Ce qu’il faut éviter

• Conserver les traces sur une période excessive (en pratique, adopter une durée comprise entre six mois et un an, sauf obligation légale, ou poursuite de finalités spécifiques) ;

• Utiliser les informations issues des dispositifs de journalisation à d’autres fins que celles de garantir la sécurisation du traitement.

Sécuriser les équipements

Les risques d’intrusion dans les systèmes informatiques sont importants et les postes de travail en constituent un des principaux points d’entrée. Il est donc indispensable de prévenir les accès frauduleux, l’exécution de virus, la prise de contrôle à distance ou le vol d’un équipement.

Protéger son poste de travail

En premier lieu, il est essentiel de s’assurer que les équipements utilisés pour mener les travaux de recherche mettent en œuvre les mesures de protection élémentaires. Idéalement, ces équipements sont fournis et administrés par les organismes employant les personnels de recherche. En tout état de cause, ces équipements doivent à minima :

authentifier les utilisateurs à l’ouverture de session (exemple : par un couple identifiant/mot de passe comme décrit dans la section « Authentifier les utilisateurs ») ;
avoir un système d’exploitation à jour ;
être équipés d’un antivirus régulièrement mis à jour ;
disposer de pare-feu (firewall) logiciel ;
prévoir un mécanisme de verrouillage automatique de session en cas de non-utilisation du poste pendant un période donnée.

Ce qu’il faut éviter

• Utiliser son ordinateur et/ou son téléphone personnel(s) pour la réalisation de ses travaux de recherche. Une telle pratique doit demeurer exceptionnelle. Si une personne est contrainte d’utiliser son ordinateur personnel pour la réalisation de ses travaux de recherche, il conviendra alors de s’assurer que les mesures listées ici sont bien mises en œuvre ;

• Utiliser des systèmes d’exploitation, applications ou programmes obsolètes et pouvant ainsi présenter des vulnérabilités ;

• Utiliser son ordinateur avec les privilèges administrateur lorsque cela ne s’avère pas nécessaire ;

• Refuser les mises à jour automatiques de ses équipements (antivirus, etc).

Sécuriser l’informatique mobile

La multiplication des équipements mobiles (ordinateurs et téléphones portables, disques durs, clés USB, etc) rend indispensable d’anticiper les atteintes à la sécurité des données consécutives au vol ou à la perte de tels équipements. Il est donc indispensable de :

authentifier les utilisateurs à l’ouverture de session (exemple : par un couple identifiant/mot de passe comme décrit dans la section « Authentifier les utilisateurs ») ;
mettre en œuvre des mécanismes de sauvegardes ou de synchronisation ;
prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW, etc). De nombreux ordinateurs portables intègrent une solution de chiffrement du disque dur : le cas échéant, il convient d’utiliser cette fonctionnalité.

Ce qu’il faut éviter

• Utiliser comme outil de sauvegarde ou de synchronisation des services cloud installés par défaut sur un appareil sans analyse approfondie de leurs conditions d’utilisation et des engagements contractuels et de sécurité pris par les fournisseurs de ces services ;

• Avoir recours à un réseau Wi-Fi public pour naviguer sur internet, ce qui peut engendrer de nombreux risques (attaques de type man-in-the-middle , absence de confidentialité des informations, distribution de malwares, points d'accès malveillants, etc).

Conserver les données

Toute utilisation de données personnelles dans un cadre de recherche suppose d’avoir anticipé les modalités d’utilisation qui en seront faites. Il est donc nécessaire de bien réfléchir à la manière dont est organisée la gestion de celles-ci.

Organiser les modalités de conservation

Comme indiqué dans la fiche pratique consacrée à la conservation des données, il est indispensable de prévoir des durées de conservation des données en fonction des objectifs poursuivis. En pratique, des systèmes d’alerte d’expiration de délai de conservation, d’archivage, voire de purge automatisée devraient être mis en œuvre.

Il est également recommandé de mettre en œuvre des procédures de sauvegardes régulières des données, que celles-ci soient sous forme papier ou électronique. Pour permettre une reprise d’activité effective en cas d’incidents (exemple : une panne matérielle), il est nécessaire de tester régulièrement la qualité des sauvegardes réalisées et que celles-ci bénéficient d’un niveau de sécurité équivalent aux données d’origine.

Enfin, il est essentiel de s’assurer que les supports de stockage utilisés pour la conservation des données sont bien adaptés et offrent une protection satisfaisante au regard de la réglementation. Il convient ainsi de s’assurer que les supports répondent aux exigences de sécurité des organismes employant les personnels de recherche (et selon les situations, sont administrés par eux ou par leur service informatique).

Ce qu’il faut éviter

• Dupliquer les données à de multiples emplacements (exemple : sur un serveur partagé et sur différents postes utilisateurs) et de façon non-anticipée, ce qui a pour conséquence d’affaiblir la protection les entourant ainsi que de nuire à l’efficacité de leur administration, y compris au niveau scientifique ;

• Conserver les données dans des emplacements ne satisfaisant pas les impératifs de protection de données (exemple : des services cloud grand public).

Garantir la confidentialité

Que les données utilisées pour la réalisation des travaux de recherche soient au format papier (carnets d’enquêtes, notes d’entretiens, questionnaires, etc.) ou numérique, il est nécessaire de s’assurer que seules les personnes autorisées sont en mesure d’y accéder.

Au niveau informatique

Comme présenté plus haut, le chiffrement des données peut permettre de garantir la confidentialité et ainsi de réduire les risques en cas de violation de données. Par ailleurs, les fonctions de hachage permettent d’assurer l’intégrité des données, c’est-à-dire de s’assurer que celles-ci n’ont pas subi de modifications (voir la page « Comprendre les grands principes de la cryptologie et du chiffrement »).

En fonction des recherches menées, du nombre de personnes pouvant accéder aux données et du degré de sensibilité, il peut être opportun de mettre en œuvre de telles mesures. Attention, il est indispensable d’assurer la confidentialité des secrets (clés de chiffrement, sels utilisés par les fonctions de hachage par exemple). Ceux-ci doivent être accessibles aux seules personnes autorisées.

Ce qu’il faut éviter

• Utiliser des méthodes de chiffrement obsolètes (DES et 3DES ou les fonctions de hachage MD5 et SHA1 par exemple) et/ou des clés de tailles insuffisantes (voir les recommandations de l’ANSSI à ce sujet) ;

• Conserver les secrets cryptographiques (clés de chiffrement, sels, etc) au même endroit que les données, ce qui réduirait à néant les bénéfices d’un chiffrement des données en cas de violation.

Au niveau physique

Si des mesures de confidentialité peuvent être mises en œuvre au niveau informatique, il en va de même au niveau physique. Il convient ainsi de s’assurer que les accès aux locaux hébergeant les données utilisées pour la recherche (bureau, salles serveurs, etc) sont contrôlés. Le zonage, l’accompagnement des visiteurs, le port de badge, le recours à des portes verrouillées, etc. sont autant de mesures qui peuvent être mises en œuvre à cet effet.

Par ailleurs, dans le cas des traitements de données à des fins de recherche scientifique mobilisant des ressources papier, il est indispensable de conserver ces dernières dans des locaux et équipements sécurisés tel que par exemple une armoire ou un coffre-fort contenant les dossiers et dont seules les personnes habilitées ont la clé ou le code.

Ce qu’il faut éviter

• Laisser trainer des documents contenant des données personnelles utilisées pour les travaux de recherche (exemple : un carnet de terrain sur un bureau ou dans un véhicule à l’issue d’une journée de travail) ;

• Stocker des données confidentielles sur des disques durs ou un NAS non chiffrés dans un bureau partagé ;

• Ne pas mettre en veille son ordinateur et ne pas fermer son bureau à clé lorsqu’on le quitte (pour les bureaux non partagés).

Superviser la diffusion des données

Sécuriser les échanges

La réalisation de travaux de recherche en partenariat peut nécessiter la réalisation d’échanges de données entre différentes équipes. Une simple erreur de manipulation peut conduire à divulguer à des destinataires non habilités des données personnelles et à porter ainsi atteinte au droit à la vie privée des personnes. En outre, toute entité ayant accès aux serveurs de messagerie concernés (notamment ceux des émetteurs et destinataires) peut avoir accès à leur contenu.

Par conséquent, lors d’un envoi via internet, il est vivement recommandé de :

chiffrer les pièces sensibles à transmettre, si le canal de transmission n’est pas chiffré (exemple : simple messagerie électronique) ;
utiliser un protocole garantissant la confidentialité et l’authentification du serveur destinataire pour les transferts de fichiers, par exemple SFTP ou HTTPS (en utilisant les versions les plus récentes des protocoles) ;
assurer la confidentialité des secrets (clé de chiffrement, mot de passe, etc.) en les transmettant via un canal distinct (par exemple, envoi du fichier chiffré par e-mail et communication du mot de passe par téléphone ou SMS).

Certains organismes employant les personnels de recherche peuvent également proposer la mise à disposition de plateformes sécurisées spécialement dédiées aux échanges de données. Il est recommandé dans ce cas de recourir autant que possible à ces ressources.

Dans le cas où les échanges se font à l’aide d’un support physique (clé USB, disque dur portable, etc) qui peut être remis en main propre, à un coursier, envoyé par la poste, etc., il est conseillé de chiffrer les données avant leur enregistrement sur le support à transmettre.

Ce qu’il faut éviter

• Transmettre des fichiers contenant des données personnelles en clair via des messageries ;

• Transmettre en clair des fichiers de grande taille sur des plateformes d’échange grand public.

Encadrer le partage et/ou la publication

La diffusion de jeu de données ayant permis la réalisation de travaux de recherche et étude est de plus en plus demandée aux personnels de recherche, à différentes étapes de leurs travaux (par ex. : revue par les pairs, publication de leurs résultats dans une revue scientifique, accès aux données déposées sur un entrepôts de de données de la recherche). Ces prérogatives d’accessibilité et de transparence, notamment portés par le Plan pour la science ouverte, doivent cependant s’accorder avec les impératifs de protection des données.

Comme illustré dans la fiche consacrée à l’anonymisation et à la pseudonymisation, anonymiser les données permet de s’affranchir des contraintes de protection des données, les données anonymisées n’étant plus considérées comme personnelles. Toutefois, une telle opération entraîne nécessairement une dégradation d’information qui peut être préjudiciable dans certains cas.

Dans le cas où une telle solution apparaît inenvisageable, il est conseillé de se rapprocher du délégué à la protection des données (DPO) de son organisme de recherche pour trouver le meilleur moyen de concilier les deux exigences.

Par ailleurs, il est également indispensable d’être vigilant pour éviter la communication de données personnelles à l’occasion de publications scientifiques (article de conférence, de journal, etc.) à des fins d’illustration. En effet, « Ces données ne peuvent pas être diffusées sans avoir été préalablement anonymisées sauf si l'intérêt des tiers à cette diffusion prévaut sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. Pour les résultats de la recherche, cette diffusion doit être absolument nécessaire à sa présentation. Les données diffusées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. » (article 116 du décret d’application de la loi Informatique et Libertés).

Ce qu’il faut éviter

• Diffuser un jeu de données (auprès d’un partenaire, au sein de sa communauté de recherche, en open access, etc), sans s’être posé la question de la possibilité légale d’une telle action ;

• Laisser apparaître des données personnelles identifiantes dans une publication scientifique sauf dans des cas spécifiques.

Exemple : si le consentement de la personne concernée a été recueilli dans le respect des conditions.