Recherche scientifique (hors santé) : quelle base légale pour un traitement de recherche ?
Recherche scientifique (hors santé) : quelle base légale pour un traitement de recherche ?
31 janvier 2022
La d'un traitement est ce qui donne le droit à un organisme de traiter des données à caractère personnel. Le choix d’une base légale est donc une première étape indispensable pour assurer la conformité d’un projet de recherche. Selon celle qui sera retenue, les obligations de l’organisme et les droits des personnes pourront varier.
Rappel :
Les données personnelles doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) » (article 5.1-a du RGPD).
Pour pouvoir être mis en œuvre, tout traitement de données personnelles doit reposer sur l’une des bases légales prévues par le RGPD. La d’un traitement est ce qui autorise légalement sa mise en œuvre, on peut également parler de « fondement juridique » ou de « base juridique » du traitement.
Ce choix de la base légale doit intervenir avant la mise en œuvre du traitement des données.
Selon le RGPD, la ou les bases légales du traitement - si le traitement poursuit plusieurs objectifs (finalités) - doivent être indiquées dans les éléments d’information fournis aux personnes dont les données sont traitées.
En l’absence de base légale, le traitement ne pourra pas être mis en œuvre : il ne sera donc pas possible de collecter, d’utiliser ou de réutiliser des données.
Plusieurs bases légales peuvent être mobilisées pour les traitements de données personnelles à des fins de recherche scientifique. Il est nécessaire de retenir la base légale la plus appropriée au regard de l’objectif poursuivi et des caractéristiques du traitement (, etc.).
Quelle base légale pour un traitement à finalité de recherche ?
La détermination de la base légale est une étape clé pour le responsable de traitement, dans la mesure où chaque base légale obéit à des conditions spécifiques et que les bases légales n’ont pas toutes les mêmes conséquences sur les droits des personnes concernées et les obligations des organismes.
L’indication selon laquelle le traitement poursuit un objectif de « recherche scientifique » ne peut pas constituer, en soi, une du traitement. Seules les bases légales listées dans le RGPD peuvent permettre de fonder la licéité d’un .
Par ailleurs, les exceptions qui peuvent être mobilisées pour traiter des données sensibles ne constituent pas non plus la base légale du traitement. Cette exception s’ajoute à la base légale.
Parmi les bases légales énumérées à l’article 6 du RGPD, trois semblent particulièrement adaptées pour un traitement de recherche :
Le consentement des personnes concernées
Ici, le consentement est envisagé au sens de la réglementation en matière de protection des données et non de l’accord qui peut être donné par les participants à une recherche.
Lorsque le consentement est la base légale de la recherche, la personne interrogée doit donner un consentement spécifique au traitement de ses données personnelles. Il est ainsi nécessaire d’utiliser dans le formulaire deux cases distinctes, l’une pour recueillir le consentement RGPD, l’autre pour participer à la recherche.
Une recherche non fondée sur la base légale du consentement mais sur un motif d’intérêt public peut néanmoins nécessiter l’accord des personnes concernées pour participer à la recherche.
Pour que le consentement soit libre, il ne doit pas exister de déséquilibre manifeste des rapports de force entre le et la personne concernée. Si le responsable de traitement est une institution publique, ou un employeur, le recours au consentement n’est pas entièrement exclu mais il importera de veiller à ce qu’il soit libre, c’est-à-dire que la personne concernée puisse refuser de le donner sans subir de conséquence négative.
Le consentement doit être donné par une déclaration ou tout autre acte positif clair. La réglementation n’impose donc pas de modalité particulière pour recueillir le consentement (exemple : peut être donné à l’oral et enregistré). Il faudra toutefois que le responsable de traitement soit en mesure de démontrer sa validité.
En outre, la personne doit avoir la possibilité de retirer son consentement à tout moment, par le biais d’une modalité simple et équivalente à celle utilisée pour le recueillir (exemple : si le recueil s’est fait en ligne, il doit pouvoir être retiré en ligne également), même si le retrait du consentement peut compromettre la recherche scientifique.
Un accord donné pour être contacté dans le cadre d’une enquête ne doit pas être considéré comme étant un consentement valable au sens du RGPD s’il ne répond pas aux exigences de la réglementation évoquées précédemment (consentement libre, spécifique, éclairé et univoque).
De même, les consentements recueillis au moyen d’une case pré-cochée ou les consentements « groupés » (un seul consentement demandé pour plusieurs traitements distincts) pour des recherches en réalité indépendantes ne sont pas considérés comme valables.
Exemple : la base légale pourrait être le consentement des personnes interrogées pour une recherche menée, par un institut, sur l’usage des nouvelles technologies consistant à analyser les habitudes de navigation sur internet, via un ordiphone et selon le genre, en ayant recours à des entretiens qualitatifs auprès d’un échantillon de personnes.
Leconsentement du mineur :
Le consentement du mineur seul, même après 15 ans, n’est pas valable pour une recherche scientifique (sauf si elles entrent dans le champ des « services de la société de l’information »). C’est le consentement des titulaires de l’autorité parentale qui doit être recueilli, lesquels devront associer le mineur en fonction de son âge et de sa maturité.
Cette base légale concerne en premier lieu les traitements mis en œuvre par les autorités publiques et les organismes publics dans le cadre de leur mission statutaire. Elle peut néanmoins autoriser la mise en œuvre de traitements par des organismes privés, dès lors qu’ils poursuivent une mission d’intérêt public ou sont dotés de prérogatives de puissance publique.
Il reviendra notamment au responsable de traitement de démontrer :
la condition de « nécessité » du traitement pour la mission d’intérêt public ;
que l’intérêt public auquel le traitement se rattache est défini par le droit national ou le droit européen.
Exemple : une recherche menée par un laboratoire au sein d’un établissement d’enseignement supérieur et de recherche ayant pour but d’analyser les impacts économiques, sociaux et environnementaux des dispositifs d’aide à la mobilité à vélo en utilisant des sondages réalisés par d’autres acteurs.
L’intérêt légitime du responsable de traitement
Pour fonder un traitement sur ses intérêts légitimes, l’organisme collectant et utilisant des données personnelles doit respecter certaines exigences.
Il doit opérer une pondération entre ses intérêts et les intérêts ou libertés et droits fondamentaux des personnes et doit également intégrer les attentes raisonnables de ces personnes. Cette mise en balance des droits et intérêts en cause doit être réalisée pour chaque traitement fondé sur l’intérêt légitime, au regard des conditions concrètes de sa mise en œuvre. Le choix de cette base légale implique donc un travail particulier de justification.
Cette base légale concerne les traitements mis en œuvre par des organismes qui ne portent pas une atteinte importante aux droits et intérêts des personnes concernées.
Par ailleurs, le RGPD prévoit que l’intérêt légitime ne peut pas constituer la base légale d’un traitement mis en œuvre par une autorité publique dans l’exécution de ses missions. Ces dernières doivent donc prioritairement se fonder sur la base légale relative à la mission d’intérêt public.
Au regard des garanties à apporter lorsque la base légale du traitement l’intérêt légitime, la CNIL recommande que la méthodologie mise en œuvre pour assurer l’équilibre avec les intérêts et droits des personnes concernées fasse l’objet d’une documentation. Cela permettra notamment à l’organisme de plus facilement démontrer la validité du recours à cette base légale pour le traitement.
Exemple : une recherche utilisant des données personnelles et menée par le département R&D d’une société privée qui vise à étudier les algorithmes de calcul de risques financiers pourrait être fondée sur base légale de l’intérêt légitime.
Que faire en cas de réutilisation de données personnelles pour une recherche ?
L’article 5.1.b du RGPD prévoit que les données personnelles doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales ».
Si, par principe, il n’y a pas de problème de compatibilité entre la finalité nouvelle de recherche scientifique et la finalité initiale du traitement de données, une telle compatibilité n’est toutefois admise que dans la mesure où le traitement à finalité de recherche scientifique « n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées » (article 4.2° de la loi Informatique et Libertés).
Exemple : une étude sur les politiques publiques d’indemnisation des demandeurs d’emploi ne constitue pas une recherche utilisée pour prendre des décisions à l’égard des personnes concernées. S’il est possible qu’elle conduise à des modifications ultérieures de ces politiques publiques, ce n’est pas le traitement de recherche lui-même qui provoquera automatiquement des modifications sur les allocations chômage des personnes ayant répondu à l’étude.
Quelle base légale choisir lorsqu’il y a plusieurs responsables de traitement pour une même recherche ?
La réglementation en matière de protection des données personnelles prévoit une responsabilité conjointe de traitement lorsque plusieurs responsables de traitement déterminent conjointement les finalités et les moyens du traitement. Les responsables conjoints doivent définir de manière transparente leurs obligations respectives par voie d’accord entre eux. Cet accord doit refléter les rôles respectifs des responsables conjoints de traitement et leurs relations vis-à-vis des personnes concernées.
En cas de responsables de traitement multiples pour un même traitement de données à caractère personnel, le principe est qu’une seule doit être retenue pour tous les responsables de traitement.
Exemples :
un projet de recherche mené conjointement par deux équipes de recherche appartenant à deux universités distinctes et consistant à interroger des personnes via un questionnaire en ligne pourra reposer sur le consentement de celles-ci ou la mission d’intérêt public des organismes ;
un projet de recherche mené conjointement par un organisme public et un organisme privé : si la recherche n’est pas réalisée dans l’exécution des missions d’intérêt public de l’organisme public alors la base légale du traitement pourra être l’intérêt légitime (cf. le dernier alinéa de l’article 6-1 du RGPD) ;
néanmoins, à titre exceptionnel, si la même base légale ne peut pas être retenue par tous les responsables de traitement, chaque responsable de traitement doit alors déterminer la base légale sur laquelle il peut fonder la licéité du traitement projeté. Dans cette hypothèse, la CNIL recommande alors de retenir le régime des droits le plus protecteur pour les personnes concernées.
Découvrez les 8 fiches pratiques sur la recherche (hors santé)