La détermination de la base légale est une étape clé pour le responsable de traitement, dans la mesure où chaque base légale obéit à des conditions spécifiques et que les bases légales n’ont pas toutes les mêmes conséquences sur les droits des personnes concernées et les obligations des organismes.
Attention :
L’indication selon laquelle le traitement poursuit un objectif de « recherche scientifique » ne peut pas constituer, en soi, une base légale du traitement. Seules les bases légales listées dans le RGPD peuvent permettre de fonder la licéité d’un traitement de données personnelles.
Par ailleurs, les exceptions qui peuvent être mobilisées pour traiter des données sensibles ne constituent pas non plus la base légale du traitement. Cette exception s’ajoute à la base légale.
Parmi les bases légales énumérées à l’article 6 du RGPD, trois semblent particulièrement adaptées pour un traitement de recherche :
Le consentement des personnes concernées
Ici, le consentement est envisagé au sens de la réglementation en matière de protection des données et non de l’accord qui peut être donné par les participants à une recherche.
Lorsque le consentement est la base légale de la recherche, la personne interrogée doit donner un consentement spécifique au traitement de ses données personnelles. Il est ainsi nécessaire d’utiliser dans le formulaire deux cases distinctes, l’une pour recueillir le consentement RGPD, l’autre pour participer à la recherche.
Une recherche non fondée sur la base légale du consentement mais sur un motif d’intérêt public peut néanmoins nécessiter l’accord des personnes concernées pour participer à la recherche.
Pour être valide, la réglementation impose que le consentement soit libre, spécifique, éclairé et univoque.
Pour que le consentement soit libre, il ne doit pas exister de déséquilibre manifeste des rapports de force entre le responsable de traitement et la personne concernée. Si le responsable de traitement est une institution publique, ou un employeur, le recours au consentement n’est pas entièrement exclu mais il importera de veiller à ce qu’il soit libre, c’est-à-dire que la personne concernée puisse refuser de le donner sans subir de conséquence négative.
Le consentement doit être donné par une déclaration ou tout autre acte positif clair. La réglementation n’impose donc pas de modalité particulière pour recueillir le consentement (exemple : peut être donné à l’oral et enregistré). Il faudra toutefois que le responsable de traitement soit en mesure de démontrer sa validité.
En outre, la personne doit avoir la possibilité de retirer son consentement à tout moment, par le biais d’une modalité simple et équivalente à celle utilisée pour le recueillir (exemple : si le recueil s’est fait en ligne, il doit pouvoir être retiré en ligne également), même si le retrait du consentement peut compromettre la recherche scientifique.
Un accord donné pour être contacté dans le cadre d’une enquête ne doit pas être considéré comme étant un consentement valable au sens du RGPD s’il ne répond pas aux exigences de la réglementation évoquées précédemment (consentement libre, spécifique, éclairé et univoque).
De même, les consentements recueillis au moyen d’une case pré-cochée ou les consentements « groupés » (un seul consentement demandé pour plusieurs traitements distincts) pour des recherches en réalité indépendantes ne sont pas considérés comme valables.
Exemple : la base légale pourrait être le consentement des personnes interrogées pour une recherche menée, par un institut, sur l’usage des nouvelles technologies consistant à analyser les habitudes de navigation sur internet, via un ordiphone et selon le genre, en ayant recours à des entretiens qualitatifs auprès d’un échantillon de personnes.
L’exécution d’une mission d’intérêt public
Cette base légale concerne en premier lieu les traitements mis en œuvre par les autorités publiques et les organismes publics dans le cadre de leur mission statutaire. Elle peut néanmoins autoriser la mise en œuvre de traitements par des organismes privés, dès lors qu’ils poursuivent une mission d’intérêt public ou sont dotés de prérogatives de puissance publique.
Il reviendra notamment au responsable de traitement de démontrer :
- la condition de « nécessité » du traitement pour la mission d’intérêt public ;
- que l’intérêt public auquel le traitement se rattache est défini par le droit national ou le droit européen.
Exemple : une recherche menée par un laboratoire au sein d’un établissement d’enseignement supérieur et de recherche ayant pour but d’analyser les impacts économiques, sociaux et environnementaux des dispositifs d’aide à la mobilité à vélo en utilisant des sondages réalisés par d’autres acteurs.
L’intérêt légitime du responsable de traitement
Pour fonder un traitement sur ses intérêts légitimes, l’organisme collectant et utilisant des données personnelles doit respecter certaines exigences.
Il doit opérer une pondération entre ses intérêts et les intérêts ou libertés et droits fondamentaux des personnes et doit également intégrer les attentes raisonnables de ces personnes. Cette mise en balance des droits et intérêts en cause doit être réalisée pour chaque traitement fondé sur l’intérêt légitime, au regard des conditions concrètes de sa mise en œuvre. Le choix de cette base légale implique donc un travail particulier de justification.
Cette base légale concerne les traitements mis en œuvre par des organismes qui ne portent pas une atteinte importante aux droits et intérêts des personnes concernées.
Par ailleurs, le RGPD prévoit que l’intérêt légitime ne peut pas constituer la base légale d’un traitement mis en œuvre par une autorité publique dans l’exécution de ses missions. Ces dernières doivent donc prioritairement se fonder sur la base légale relative à la mission d’intérêt public.
Au regard des garanties à apporter lorsque la base légale du traitement l’intérêt légitime, la CNIL recommande que la méthodologie mise en œuvre pour assurer l’équilibre avec les intérêts et droits des personnes concernées fasse l’objet d’une documentation. Cela permettra notamment à l’organisme de plus facilement démontrer la validité du recours à cette base légale pour le traitement.
Exemple : une recherche utilisant des données personnelles et menée par le département R&D d’une société privée qui vise à étudier les algorithmes de calcul de risques financiers pourrait être fondée sur base légale de l’intérêt légitime.