Recherche scientifique (hors santé) : les durées de conservation des données
La conservation des données personnelles doit être limitée. Cependant, des dérogations existent afin d’assurer la reproductibilité de la recherche.
Que dit la loi ?
L’obligation de fixer une durée de conservation limitée des données personnelles est prévue par le RGPD. Elle concerne les fichiers informatiques et les fichiers papier.
Le principe :
Les données ne peuvent pas être conservées indéfiniment. La durée de conservation doit être choisie en fonction des objectifs poursuivis par le traitement mis en œuvre à des fins de recherche.
Néanmoins, un aménagement est prévu pour la recherche scientifique. Il est possible de conserver les données « pour des durées plus longues » pour des finalités de recherche, mais il est alors nécessaire de mettre en œuvre des mesures techniques et organisationnelles appropriées requises par le RGPD pour garantir les droits et libertés des personnes concernées.
Une fois l’objectif poursuivi par la recherche atteint, ces données doivent être supprimées ou anonymisées.
Toutefois, concernant les organismes publics ou les organismes de droit privé chargés d’une mission de service public, les données peuvent également devoir faire l’objet d’un archivage spécifique dans le respect des obligations du code du patrimoine. Les données peuvent ainsi être versées en archivage définitif dans un service public d’archives selon l’intérêt particulier qu’elles présentent. Lorsque les archives publiques comportent des données personnelles, une sélection est réalisée pour déterminer les données destinées à être conservées et celles, dépourvues d'utilité administrative ou d'intérêt scientifique, statistique ou historique, destinées à être éliminées.
En tout état de cause, les données conservées dans le cadre de l’archivage définitif relèvent d’un traitement à finalité archivistique au sens du RGPD, dès lors, il n’entre pas dans le cadre des présentes fiches.
Par ailleurs, la durée de conservation des données doit être précisée dans les mentions d’information qui seront portées à la connaissance de la personne concernée.
Comment déterminer une durée de conservation des données pour une recherche ?
Il est nécessaire de déterminer une durée de conservation des données en amont de la mise en œuvre du traitement à finalité de recherche.
La durée de conservation des données personnelles peut être déterminée de différentes façons, notamment afin de permettre la reproductibilité de la recherche :
- elle peut être déterminée de manière précise, à compter d’un évènement certain ou d’une date fixée (exemple : une durée de conservation de 3 ans à compter de la fin de la collecte des données afin de permettre l’analyse et la production des résultats de la recherche, ou encore une durée de conservation de 3 ans à compter de la date arrêtée de la dernière publication scientifique) ;
- elle peut être déterminable et correspondre à la survenance d’un évènement spécifique et certain (exemple : jusqu’au renouvellement de l’enquête lorsqu’une deuxième vague est déjà envisagée).
Exemples de durées de conservation :
- des personnes ayant donné leur accord à être recontactées pour participer à une étude est constituée : les données nominatives de ces personnes qui auraient refusé de participer aux enquêtes qualitatives postérieures devront être supprimées après la fin de l’étude, par exemple dans un délai de quatre mois ;
- dans le cadre de la valorisation de résultats de recherche, les données personnelles peuvent être conservées pour une durée correspondant à celle du financement de la recherche, avec une période supplémentaire de deux ans si l’anonymisation des données n’est pas envisageable pour une telle valorisation ;
- dans un avis du 27 février 2020 sur un projet d’enquête de l’INED concernant les immigrants chinois à Paris et en région parisienne et visant à mettre en évidence les aspects cruciaux d’assimilation des immigrants dans le contexte français, la CNIL a considéré que la durée de conservation des données personnelles pouvait être fixée à cinq ans à compter de la date déterminée de la dernière publication scientifique.
Les données anonymisées peuvent être conservées sans limitation de durée, car elles ne sont plus soumises au RGPD. L’anonymisation est à distinguer de la pseudonymisation : si les données ne sont que pseudonymisées, leur traitement reste soumis au respect du RGPD.
Comment conserver les données dans le cadre d’une recherche ?
Si les données personnelles ne peuvent être anonymisées, il est important de mettre en œuvre de bonnes pratiques de conservation des données, avec les mesures de sécurité et de confidentialité adaptées. La pseudonymisation constitue une des mesures pour limiter les risques pour les données personnelles.
Lorsque des données doivent être conservées plus longtemps à des fins archivistiques (comme prévu par le code du patrimoine – voir plus haut), le traitement concerné ne sera plus un traitement à finalité de recherche mais un traitement à des fins archivistiques.
Enfin, pour rappel, la possibilité offerte par le RGPD et la loi Informatique et Libertés de conserver plus longtemps les données pour la recherche est conditionnée à la mise en place de mesures techniques et organisationnelles, notamment de nature à garantir la sécurité et la confidentialité des données au format papier et numérique (pour plus de détail consulter les fiches sur la sécurité et sur certaines catégories de données personnelles).
Découvrez les 8 fiches pratiques sur la recherche (hors santé)
- Les questions-réponses de la CNIL
- Quelle base légale pour un traitement de recherche ?
- Comment assurer le respect des droits des personnes ?
- Les durées de conservation des données
- Enjeux et avantages de l’anonymisation et de la pseudonymisation
- Quels outils pour aider les acteurs de la recherche dans leur mise en conformité ?
- Les mesures de sécurité et de confidentialité
- Focus sur certaines catégories de données personnelles
Pour approfondir
Les textes de référence
- Article 5.1.e du RGPD (durées de conservation des données)
- Article 89 du RGPD (garanties et dérogations applicables notamment à la recherche)
- Article L.211-22 du code du patrimoine (conservation des archives) - Légifrance
- Article L.212-3 du code du patrimoine (archives comportant des données personnelles) - Légifrance
- Article L.212-4 du code du patrimoine (versement dans un service public d’archives et dérogations) - Légifrance