Recherche scientifique (hors santé) : quels outils pour aider les acteurs de la recherche dans leur mise en conformité ?

Le registre des activités de traitement est un document de conformité : il permet de recenser les traitements de données et d’avoir une vision globale de ce que le responsable de traitement fait des données personnelles qu’il collecte.

Sauf exception, l’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés, dès lors qu’ils traitent de données personnelles.

Qui doit réaliser le registre des activités de traitement ?

Le RGPD impose, sous certaines conditions, au responsable de traitement de tenir un registre de ses activités de traitement. Ainsi, une université, un centre de recherche, une entreprise privée dotée d’un département R&D sont potentiellement concernés, en incluant notamment les traitements relatifs aux activités de ressources humaines, à la gestion de l’exécution financière et budgétaire, à la gestion d’une lettre d’information, de la restauration collective, de l’aide sociale, etc.

Les traitements à finalité de recherche scientifique devraient également figurer dans ce registre. 

Les organismes qui traitent des données pour le compte d’un autre organisme, par exemple, un prestataire, devraient également tenir un registre de leurs activités de sous-traitant telles que l’entrepôt de données.

Si l’organisme a désigné un délégué à la protection des données (DPO), celui-ci peut être chargé de la tenue du registre. Ce registre constitue en effet l’un des outils lui permettant d’exercer ses missions de contrôle du respect du RGPD ainsi que d’information et de conseil du responsable du traitement ou du sous-traitant.

Que doit contenir ce registre ?

Selon le RGPD, dans son registre, le responsable de traitement doit créer une fiche par activité recensée, en précisant :

• le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données (DPO) ;
• le ou les objectifs poursuivis par chaque traitement (finalité(s) du traitement, ex : une recherche publique visant à analyser les impacts de certaines politiques publiques) ;
• les personnes concernées et les catégories de données utilisées (exemple : collecte de l’identité ainsi que des coordonnées des personnes interrogées et des questionnaires reçus à analyser pour les membres de l’équipe de recherche) ;
• qui a accès aux données (personnes habilitées et/ou autorisées – exemple : les membres de l’équipe de recherche désignée qui vont analyser les résultats) et à qui elles seront communiquées (les destinataires - ex : un sous-traitant chargé de réaliser une analyse, les membres d’un comité scientifique chargé d’une revue scientifique peuvent être amenés à avoir communication de certaines données afin de valider les résultats de la recherche etc.) ;
• les durées de conservation de ces données   (durée d’utilité et durée de conservation en archive) ;
• les mesures de sécurité envisagées (exemple : sécurisation des postes prenant part au traitement des données, politique des mots de passe, etc.) ;
• le cas échéant, les transferts de données personnelles en dehors de l’Union européenne ou à une organisation internationale (exemple : si la recherche menée implique de travailler avec une équipe de recherche basée aux Etats-Unis).

Outre ces informations obligatoires, des éléments complémentaires peuvent venir enrichir le registre des activités de traitement tels que la base légale du traitement, la source des données, les droits des personnes et les moyens de les exercer, etc.

Le registre doit être mis à jour régulièrement, au gré des évolutions fonctionnelles et techniques des traitements de données.

Exemple : si un questionnaire utilisé dans le cadre d’une recherche est modifié et conduit à collecter de nouvelles catégories de données personnelles.

En outre, si le registre est un document interne, il doit toutefois pouvoir être communiqué à la CNIL lorsqu’elle le demande, en particulier dans le cadre de sa mission de contrôle des traitements de données.

Comment réaliser un tel registre ?

Afin d’aider les organismes, la CNIL a mis en ligne un modèle de registre de base destiné à répondre aux besoins les plus courants en matière de traitements de données et recommande de l’enrichir de mentions complémentaires autant que possible.

Par ailleurs, dans un souci de transparence et de pédagogie, la CNIL a publié son propre registre des activités de traitement.

L’AIPD est un outil important pour la responsabilisation des organismes. Elle les aide à construire des traitements de données respectueux de la vie privée et à démontrer leur conformité au RGPD. Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés pour les personnes concernées.

Une AIPD peut concerner un seul traitement ou un ensemble de traitements similaires.

Qui doit réaliser l’AIPD ?

La réalisation de l’AIPD peut faire intervenir plusieurs acteurs :

C’est le responsable de traitement (université, centre de recherches, entreprise privée, etc.) qui est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD. Si un DPO a été désigné, le responsable de traitement doit lui demander conseil et le charger de vérifier l’exécution de l’AIPD.

Si un sous-traitant (prestataire, institut de sondage, etc.) intervient entièrement ou partiellement dans le traitement, il doit fournir son aide et les informations nécessaires à la réalisation de l'AIPD.

Le responsable de traitement devrait également demander l’avis des personnes ou des organismes (associations, etc.) concernés (par le biais d’une enquête, d’un sondage, d’une question formelle aux représentants du personnel), ou justifier l’absence de cet avis.

Les métiers (maîtrise d’ouvrage), les équipes chargées de la mise en œuvre (maîtrise d’œuvre), et les personnes chargées de la sécurité des systèmes d’information devraient également participer au processus de réalisation de l'AIPD et à sa validation.

Quand réaliser une AIPD ?

Une AIPD devrait être réalisée si l’utilisation des données personnelles pour la recherche est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, notamment lorsqu’il a pour objet ou pour effet :

• le traitement de données sensibles (exemple : un projet de recherche consistant à interroger des personnes sur leurs comportements sexuels, un projet de recherche consistant à développer un algorithme de reconnaissance faciale) ou de données relatives aux infractions, condamnations pénales ou aux mesures de sécurité connexes (exemple : une recherche ayant pour objectif de répertorier des infractions sur la base de la lecture de décisions de justice contient de telles données) ;
• le traitement de données concernant des personnes vulnérables (exemple : les enfants, les personnes âgées, les personnes détenues, etc.) ;
• le traitement à grande échelle de données à caractère personnel (en fonction notamment du nombre de personnes concernées, du volume de données traitées, de la durée ou de la permanence de l’activité de traitement de données, de l’étendue géographique du traitement) ;
• le croisement d’ensembles de données ;
• des usages innovants ou l’application de nouvelles technologies (exemple : reconnaissance faciale) ;
• l’exclusion du bénéfice d’un droit, d’un service ou contrat ;
• l’évaluation d’aspects personnels (y compris le profilage) ;
• une prise de décision automatisée ;
• la surveillance systématique de personnes (exemple : collecte d’images de participants à une expérience en milieu clos).

Si vos traitements de données répondent à au moins 2 des critères listés ci-dessus, une AIPD doit en principe être effectuée avant de commencer à collecter et utiliser des données. Cette analyse d’impact sur la vie privée permettra d’identifier les risques pour les personnes concernées, notamment en cas d’accès illégitime aux données collectées ou de modification des données collectées. Elle permettra également de déterminer les mesures appropriées pour protéger leurs données personnelles.

Exemple : le détail du processus d’anonymisation mené à l’issue de la durée de conservation des données, la mise en œuvre de mesures de journalisation améliorées, un chiffrement des données personnelles transmises aux membres de l’équipe de recherche situés dans un autre centre ou encore un contrôle rigoureux des accès logiques, etc.

En cas de doute, la CNIL recommande la réalisation d’une analyse d’impact.

Exemples de traitements de données personnelles à finalité de recherche scientifique pour lesquels une AIPD devrait être réalisée :

• Une enquête visant à interroger des personnes détenues et à recueillir des données sur leurs pratiques religieuses (personnes vulnérables et données sensibles) ;
• Une collecte de données personnelles sur les réseaux sociaux dans le cadre d’une recherche sociologique afin de générer des profils d’usagers (évaluation, grande échelle, croisement de données) ;
• Une recherche visant à développer un algorithme de reconnaissance du locuteur par ses caractéristiques vocales chez des enfants en les enregistrant (données sensibles, personnes vulnérables).

Quelle différence entre AIPD et le plan de gestion des données (PGD ou DMP) ?

Le plan de gestion des données est un document qui est demandé ou exigé par de plus en plus d’organismes de financement de la recherche et d’organismes de recherche. Le PGD ou DMP (pour Data Management Plan) est un document qui définit l'ensemble des étapes de gestion des données utilisées dans une recherche : collecte, production, archivage, dissémination, etc. Ce document couvre l’ensemble des données, et pas seulement les données personnelles, utilisées dans un projet de recherche.

L’AIPD est un document obligatoire, dans certains cas, au titre du RGPD. Il s’agit donc de deux documents différents. Par exemple, l’AIPD ne porte pas sur la propriété intellectuelle des bases de données utilisées dans la recherche. Le PGD peut à l’inverse porter sur des données qui ne sont pas des données personnelles (exemple : densité du magma). AIPD et PGD ne sont donc ni équivalents, ni substituables.

Toutefois, afin d’éviter une lourdeur excessive des tâches d’administration de la recherche, la CNIL encourage le développement d’outil de gestion intégrant l’ensemble des besoins de conformité auxquels sont soumis les chercheurs, notamment les besoins de déclaration au registre des activités de traitement, de rédaction d’un plan de gestion des données et dans certains cas de rédaction d’une AIPD, et permettant ainsi de satisfaire de façon simultanée des exigences multiples.

Comment réaliser une AIPD ?

La CNIL propose un outil PIA (Privacy Impact Assessment – AIPD en français) afin de faciliter la conduite et la formalisation d’AIPD. Celui-ci est disponible en open source et peut donc être facilement intégré à des modèles préexistants. La CNIL a également publié plusieurs guides pour accompagner les organismes dans cette tâche.

Est-il possible de transférer des données personnelles hors de l’UE ?

Les responsables de traitement et les sous-traitants peuvent transférer des données hors de l’Union européenne (UE) et de l’Espace économique européen (EEE) à condition d’assurer un niveau de protection des données suffisant et approprié.

Quelles conditions dois-je respecter pour transférer des données personnelles hors de l’UE ?

Afin d’assurer un haut niveau de protection des données transférées du territoire européen à des Etats tiers, les organismes de recherche peuvent recourir aux outils suivants :

• La décision d’adéquation adoptée par la Commission européenne (art. 45 du RGPD), qui constitue le premier outil juridique d’encadrement, dans la mesure où elle est prise sur la base d’un examen global de la législation en vigueur dans un État, sur un territoire ou applicable à un ou plusieurs secteurs déterminés au sein de cet État. Il est nécessaire de vérifier le champ d’application de la décision d’adéquation concernée pour s’assurer qu’elle couvre notamment les catégories de destinataires, types de traitements ou données qu’il est envisagé de transférer sur cette base ;

Exemple : une société française menant une recherche et souhaitant transférer des données personnelles à une entreprise japonaise, le Japon étant reconnu par la Commission européenne comme adéquat.

• En l’absence d’une décision d’adéquation, il est possible de s’appuyer sur des « garanties appropriées » (art. 46 du RGPD), constituées pour la majorité de mécanismes contractuels. Ces garanties peuvent notamment consister en des clauses types de protection des données adoptées par la Commission européenne ou une autorité de contrôle ou encore des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données dans le pays tiers ou l'organisation internationale sous réserve de l’autorisation de l’autorité de contrôle compétente, un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ;

Exemple : si une recherche est menée conjointement entre une équipe de recherche française et une équipe de recherche brésilienne, un transfert de données hors de l’UE pourra être réalisé par  l’utilisation de clauses contractuelles type de la Commission européenne.

Conformément à l’arrêt de la CJUE du 16 juillet 2020, dit Schrems II, l’exportateur de données doit (si nécessaire avec l’aide de l’importateur de données), vérifier, au cas par cas et en tenant compte des circonstances du transfert, si la loi ou la pratique dans le pays tiers de destination empêche de respecter les engagements pris dans le cadre des garanties appropriées et mettre en place si nécessaire des mesures additionnelles à l’outil de transfert afin d’assurer un niveau de protection substantiellement équivalent à celui requis dans l’UE. Si aucune mesure additionnelle ne peut être identifiée ou mise en œuvre, le transfert de données ne peut avoir lieu. Le Comité européen de la protection des données (CEPD, qui réunit l’ensemble des CNIL européennes) a adopté une recommandation destinée à aider les acteurs dans le respect de ces obligations.

En l’absence de telles garanties appropriées, dans certains cas, le transfert peut être réalisé sur la base de dérogations (art. 49 RGPD) dans des situations particulières et des conditions spécifiques. Ces exceptions font l’objet d’une interprétation stricte par les autorités de protection des données qui considèrent en particulier qu’elles ne peuvent fonder des transferts de données massifs, systématiques ou sur des grands ensembles de données.

Exemple :

Si une équipe de recherche souhaite transférer des données personnelles à une autre équipe de recherche qui réside dans un Etat tiers qui n’est pas reconnu comme offrant un niveau de protection adéquat et s’il n’est pas possible de mettre en place de garanties appropriées encadrant ce transfert, le transfert pourrait néanmoins, par exception, être opéré notamment dans les cas suivants :

• la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle (art. 49.1.a RGPD) ;
• le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à sa demande (art. 49.1.b RGPD) ;
• le transfert est nécessaire pour des motifs importants d'intérêt public (art. 49.1.d) qui doivent être reconnus par le droit de l’UE ou le droit français.