Recherche scientifique (hors santé) : quelle base légale pour un traitement de recherche ?

La détermination de la base légale est une étape clé pour le responsable de traitement, dans la mesure où chaque base légale obéit à des conditions spécifiques et que les bases légales n’ont pas toutes les mêmes conséquences sur les droits des personnes concernées et les obligations des organismes.

Parmi les bases légales énumérées à l’article 6 du RGPD, trois semblent particulièrement adaptées pour un traitement de recherche :

Le consentement des personnes concernées

Ici, le consentement est envisagé au sens de la réglementation en matière de protection des données et non de l’accord qui peut être donné par les participants à une recherche. 

Lorsque le consentement est la base légale de la recherche, la personne interrogée doit donner un consentement spécifique au traitement de ses données personnelles. Il est ainsi nécessaire d’utiliser dans le formulaire deux cases distinctes, l’une pour recueillir le consentement RGPD, l’autre pour participer à la recherche.

Une recherche non fondée sur la base légale du consentement mais sur un motif d’intérêt public peut néanmoins nécessiter l’accord des personnes concernées pour participer à la recherche.

Exemple : la base légale pourrait être le consentement des personnes interrogées pour une recherche menée, par un institut, sur l’usage des nouvelles technologies consistant à analyser les habitudes de navigation sur internet, via un ordiphone et selon le genre, en ayant recours à des entretiens qualitatifs auprès d’un échantillon de personnes.

L’exécution d’une mission d’intérêt public

Cette base légale concerne en premier lieu les traitements mis en œuvre par les autorités publiques et les organismes publics dans le cadre de leur mission statutaire. Elle peut néanmoins autoriser la mise en œuvre de traitements par des organismes privés, dès lors qu’ils poursuivent une mission d’intérêt public ou sont dotés de prérogatives de puissance publique.

Il reviendra notamment au responsable de traitement de démontrer :

• la condition de « nécessité » du traitement pour la mission d’intérêt public ;
• que l’intérêt public auquel le traitement se rattache est défini par le droit national ou le droit européen.

Exemple : une recherche menée par un laboratoire au sein d’un établissement d’enseignement supérieur et de recherche ayant pour but d’analyser les impacts économiques, sociaux et environnementaux des dispositifs d’aide à la mobilité à vélo en utilisant des sondages réalisés par d’autres acteurs.

L’intérêt légitime du responsable de traitement

Pour fonder un traitement sur ses intérêts légitimes, l’organisme collectant et utilisant des données personnelles doit respecter certaines exigences.

Il doit opérer une pondération entre ses intérêts et les intérêts ou libertés et droits fondamentaux des personnes et doit également intégrer les attentes raisonnables de ces personnes. Cette mise en balance des droits et intérêts en cause doit être réalisée pour chaque traitement fondé sur l’intérêt légitime, au regard des conditions concrètes de sa mise en œuvre. Le choix de cette base légale implique donc un travail particulier de justification.

Cette base légale concerne les traitements mis en œuvre par des organismes qui ne portent pas une atteinte importante aux droits et intérêts des personnes concernées.

Par ailleurs, le RGPD prévoit que l’intérêt légitime ne peut pas constituer la base légale d’un traitement mis en œuvre par une autorité publique dans l’exécution de ses missions. Ces dernières doivent donc prioritairement se fonder sur la base légale relative à la mission d’intérêt public.

Au regard des garanties à apporter lorsque la base légale du traitement l’intérêt légitime, la CNIL recommande que la  méthodologie mise en œuvre pour assurer l’équilibre avec les intérêts et droits des personnes concernées fasse l’objet d’une documentation. Cela permettra notamment à l’organisme de plus facilement démontrer la validité du recours à cette base légale pour le traitement.

Exemple : une recherche utilisant des données personnelles et menée par le département R&D d’une société privée qui vise à étudier les algorithmes de calcul de risques financiers pourrait être fondée sur base légale de l’intérêt légitime.

L’article 5.1.b du RGPD prévoit que les données personnelles doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales ».

Si, par principe, il n’y a pas de problème de compatibilité entre la finalité nouvelle de recherche scientifique et la finalité initiale du traitement de données, une telle compatibilité n’est toutefois admise que dans la mesure où le traitement à finalité de recherche scientifique « n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées » (article 4.2° de la loi Informatique et Libertés).

Exemple : une étude sur les politiques publiques d’indemnisation des demandeurs d’emploi ne constitue pas une recherche utilisée pour prendre des décisions à l’égard des personnes concernées. S’il est possible qu’elle conduise à des modifications ultérieures de ces politiques publiques, ce n’est pas le traitement de recherche lui-même qui provoquera automatiquement des modifications sur les allocations chômage des personnes ayant répondu à l’étude.

La réglementation en matière de protection des données personnelles prévoit une responsabilité conjointe de traitement lorsque plusieurs responsables de traitement déterminent conjointement les finalités et les moyens du traitement. Les responsables conjoints doivent définir de manière transparente leurs obligations respectives par voie d’accord entre eux. Cet accord doit refléter les rôles respectifs des responsables conjoints de traitement et leurs relations vis-à-vis des personnes concernées.

En cas de responsables de traitement multiples pour un même traitement de données à caractère personnel, le principe est qu’une seule base légale doit être retenue pour tous les responsables de traitement.

Exemples :

• un projet de recherche mené conjointement par deux équipes de recherche appartenant à deux universités distinctes et consistant à interroger des personnes via un questionnaire en ligne pourra reposer sur le consentement de celles-ci ou la mission d’intérêt public des organismes ;

• un projet de recherche mené conjointement par un organisme public et un organisme privé : si la recherche n’est pas réalisée dans l’exécution des missions d’intérêt public de l’organisme public alors la base légale du traitement pourra être l’intérêt légitime (cf. le dernier alinéa de l’article 6-1 du RGPD) ;
• néanmoins, à titre exceptionnel, si la même base légale ne peut pas être retenue par tous les responsables de traitement, chaque responsable de traitement doit alors déterminer la base légale sur laquelle il peut fonder la licéité du traitement projeté. Dans cette hypothèse, la CNIL recommande alors de retenir le régime des droits le plus protecteur pour les personnes concernées.