Les chercheurs se posent beaucoup de questions quant aux conséquences de l’entrée en vigueur du RGPD (Règlement Général de Protection des Données) sur les activités de recherche scientifique, lorsqu’elles impliquent des traitements de données personnelles.
La réponse n’est pas simple à donner, car le texte du règlement est particulièrement complexe et il évoque à de nombreux endroits les activités de recherche. Mais une lecture attentive permet d’arriver à la conclusion que, comme c’est le cas pour les traitements réalisés à des fins archivistiques, le RGPD prévoit un régime dérogatoire pour les activités de recherche scientifique, destiné à faciliter les traitements de données personnelles en la matière.
Tout l’enjeu consiste donc à cerner la portée de ces dérogations et d’établir ce qu’elles permettent exactement aux chercheurs de faire, afin de sécuriser les pratiques. Cette articulation entre protection des données personnelles et activités de recherche est d’une grande importance, car sans ce régime dérogatoire, il serait très difficile pour les chercheurs de monter des projets impliquant des traitements de données personnelles.
A défaut, la recherche risquerait même de tomber dans la dépendance vis-à-vis de grandes plateformes privées pour l’accès à des données exploitables. On voit d’ailleurs déjà un tel processus commencer à s’installer, avec Facebook par exemple qui annonçait la semaine dernière la remise d’un important corpus de données à Social Science One, une commission « indépendante » de recherche mise en place avec le soutien de la firme. Or ce type de montage soulève de nombreuses questions, puisque les chercheurs sont bien dans ce cas structurellement « dépendants » de la plateforme pour obtenir la matière première de leurs travaux. Dans un autre registre, on commence aussi à voir des intermédiaires se positionner pour faire l’interface entre des individus leur fournissant des données personnelles et des projets de recherche, avec la promesse de les rémunérer pour cet usage (voir cet exemple récent en matière de santé). Il y a alors glissement vers la patrimonialisation et la monétisation des données, une pente sur laquelle ni les individus, ni la recherche n’ont, à mon sens, intérêt à se laisser entraîner…
D’où l’importance de ces dérogations prévues par le RGPD, car elles offrent à la recherche publiques des garanties pour assurer son indépendance sans pour autant sacrifier l’impératif de protéger les droits fondamentaux des personnes. Ce dernier point est important, car il faut se souvenir que toute l’affaire Cambridge Analytica, par exemple, est partie d’un projet de recherche qui a fini par déraper avec à la clé les conséquences dramatiques que l’on sait. On ne saurait donc permettre aux chercheurs de tout faire sans garde-fou, mais la difficulté consiste justement à trouver le bon équilibre.
Le texte sur le blog S.I.LEX constitue une première exploration de ce régime dérogatoire prévu par le RGPD au bénéfice des activités de recherche scientifique, sachant que ces dérogations figurent en partie dans le règlement comme des options activables par les États au niveau national. Il importe donc également de se référer à la loi Informatique et Libertés, telle que modifiée le 20 juin 2018 pour connaître l’étendue exacte des règles particulières applicables en matière de recherche scientifique.
Lire le texte sur le blog S.I.LEX
Table des matières
I Place des activités de recherche dans le RGPD
1) Importance reconnue aux activités de recherche par le RGPD
2) Périmètre de la « recherche scientifique» dans le RGPD
II Dérogation au principe de limitation des finalités
1) Admission d’une certaine indétermination des finalités des traitements à des fins de recherche
2) Compatibilité de la finalité de recherche avec une finalité initiale différente
III Dérogation au principe de limitation de la durée de conservation
1) Possibilité d’une conservation au-delà de la réalisation de la finalité du traitement
2) Articulation avec les traitements archivistiques
IV Absence de dérogation au principe de minimisation
1) Soumission de la recherche au principe de minimisation
2) Incitation à la pseudonymisation des données
V Possibilité de traitement de données dites « sensibles »
1) Dérogation à l’interdiction du traitement des données sensibles
2) Cas particulier des recherches sur des données de santé
VI Dérogations aux droits des personnes
1) Pas d’activation en France de toutes les dérogations prévues par le RGPD
2) Dérogation au droit à l’information
3) Dérogations au droit à l’oubli et au droit d’opposition
VII Dérogation prévue pour l’expression universitaire
1) Une possibilité ouverte par le RGPD…
2) … mais non activée en France ?
