Blog

Le potoLab
Les aventures d'une designer
Point légal : le RGPD et la recherche
| Ressources | Mots clés : RGPD

Dans le cadre de notre étude sur le guidage dans les transports en commun, nous avons mis en place une expérience pour récolter des données. La mise en place d'expériences avec recueil de données est une activité très courante dans le travail de chercheuse. Or, depuis l'entrée en vigueur du Règlement Général sur la Protection des Données (le fameux "RGPD") et de la loi "Informatiques et Libertés" du 6 janvier 1978 modifiée en 2018, nous nous devons d'être très vigilants quant à la manière dont nous recueillons, analysons et publions nos données. Toute cette législation me semblait très opaque jusqu'à ce que je mette le nez dedans. Afin d'éclaircir d'autres designers ou chercheuses sur le sujet, voici un article regroupant toutes les bonnes pratiques à adopter.

Note : Je ne suis pas juriste mais juste une jeune designer-chercheuse. Il se pourrait que des informations fausses se soient glissées dedans. Pour me faire part de vos remarques ou propositions de modifications n’hésitez pas à me contacter !

Comment faire une bonne collecte de données ?

La mise en place d’une collecte de données à caractère personnel doit respecter plusieurs obligations. La première est l'obligation de respecter les droits des participants et la seconde l'obligation de protéger correctement ces données.

Sommaire

  1. Quelques définitions
  2. Les droits des participants
  3. Le formulaire d'information et de consentement
  4. Comment protéger et stocker les données personnelles ?

Quelques définitions

Notons que le RGPD et la loi "Informatiques et Libertés" ne concernent que les données à caractère personnel dont voici la définition :

Les données à caractère personnel

Les données à caractère personnel, plus couramment appelées "données personnelles", sont toutes les informations relatives à une personne physique identifiée, ou qui peut être identifiée en croisant des données la concernant. Elles peuvent être le nom, le prénom, l’âge, le métier, une photo, l’adresse postale, l’adresse mail, le numéro de téléphone, la date de naissance, le numéro IP, tout numéro d’identification (ex : numéro de sécurité sociale), une empreinte digitale, des données de localisation, et tous "éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale".

Les données sensibles

Parmi les données à caractère personnel il existe une catégorie dite "données sensibles" dont la collecte et le traitement sont normalement interdits. Cependant une dérogation pour la recherche scientifique existe. Les données sensibles sont toutes les informations à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Le traitement des données

Il y a “traitement” de données à caractère personnel, lorsqu’un chercheur collecte des données personnelles (au cours d’un entretien, par exemple), mais aussi quand il se contente de consulter de telles données dans un document. Ainsi, sont des traitements de données personnelles : "la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction" (art. 4 du Règlement européen du 27 avril 2016).

La recherche scientifique

Ainsi, les données sensibles peuvent être collectés pour la recherche scientifique dont voici la définition :
"Aux fins du présent règlement, le traitement de données à caractère personnel à des fins de recherche scientifique devrait être interprété au sens large et couvrir, par exemple, le développement et la démonstration de technologies, la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé. [...]" (art 159 du Règlement européen du 27 avril 2016)

Les droits des participants

Voici les 6 droits fondamentaux des participants :

Droit d'information

Lors d'une collecte de données vous devez impérativement proposer une information claire sur l'utilisation des données et sur les droits des usagers. Au moindre problème dans la collecte des données (destruction, perte, altération ou vol des données) l’usager doit être mis au courant. Lors d'une collecte de données, le consentement du participant doit être obtenu après rappel de ses droits. Voici les différents cas où le droit d'information s'applique :

En cas de collecte de données (au cours d’un entretien, par exemple) ce sera au chercheur de fournir ces informations aux personnes concernées.

En cas d’utilisation d’un corpus de données existantes sans collecter les données auprès des personnes concernées, le ou la chercheuse doit contacter ces personnes pour les informer qu’il va traiter leurs données personnelles à des fins de recherche scientifique.

En cas de simple consultation de documents contenant des données le ou la chercheuse n’est pas tenu d’en informer les personnes concernées. Cependant il doit obtenir l'autorisation de la part de l'auteur de ce document pour consulter, à des fins de recherche scientifique ou historique, les documents administratifs ou d’archives publiques ou d’archives privées. Dans le cas où ces documents ne sont ni des documents administratifs, ni des archives publiques ou privées et qu'ils comprennent des données personnelles qui ont été collectées licitement et loyalement et que le chercheur les consulte à des fins de recherche scientifique ou historique, une autorisation n'est pas nécessaire.

Droit de rectification

L’usager peut demander la rectification des informations inexactes ou incomplètes le concernant en échange d’une pièce d’identité. Il permet d’éviter qu’un organisme n’utilise ou ne diffuse des informations erronées sur lui.

Droit d'accès

À tout moment, l’usager peut demander à l’organisme qui détient des données sur lui à ce qu’on les lui communique pour en vérifier le contenu en échange d’une pièce d’identité.

Droit à la portabilité

Le droit à la portabilité offre la possibilité de récupérer une partie de ses données dans un format lisible par une machine. Libre à l’usager de stocker ailleurs ses données portables ou les transmettre facilement d’un système à un autre, en vue d’une réutilisation à d’autres fins.

Droit d'opposition

L’usager peut s’opposer à tout moment à ce qu’un organisme utilise certaines de ses données. Cependant, dans le cas de la recherche scientifique il existe une dérogation lorsque la recherche a été publiée :

"Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique [...] en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public."

Droit d'effacement

L’usager peut demander la suppression des informations le concernant en échange d’une pièce d’identité. Cependant, tout comme le droit d'opposition, la recherche publique bénéficie d’un régime dérogatoire. Un responsable de traitement de données à des fins de recherche scientifique peut donc refuser de faire droit à une demande d’effacement, mais il ne s’agit pas d’une faculté discrétionnaire : il doit être en mesure de prouver que cette suppression empêche la recherche projetée ou la compromet gravement. Dans ce cas il faudra trouver un compromis avec lui, par exemple, proposer une meilleure anonymisation de ses données.

Le formulaire d'information et de consentement

En cas d'une collecte de données, peu importe sa forme (interview, atelier, expérience, etc.) le ou la chercheuse doit fournir un formulaire d'information et de consentement que les participants devront signer. Le consentement éclairé doit impérativement être obtenu avant le début de la collecte. Mais avant de se lancer dans l'écriture du formulaire d'information et de consentement il est indispensable de se poser quelques questions :

Quel est l'objectif de ma collecte de données ?

L’article 5 du RGPD prévoit que les données personnelles ne peuvent être collectées que pour des "finalités déterminées, explicites et légitimes". Notons que la personne concernée par le recueil des données doit automatiquement être mise au courant de ces finalités. Malheureusement ce n'est pas toujours possible de cerner la finalité exacte du traitement de données au moment de leur collecte. Cependant, pour être en accord avec la loi il faut au moins définir un ensemble de finalités possible, même si elles sont floues.

Pendant combien de temps ai-je besoin de ces données ?

Le RGPD (article 5) prévoit que les données anonymisées (nous verrons plus tard ce que cela signifie) ne peuvent être conservées que pendant "une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées". Cependant il existe une dérogation pour la recherche : "les données peuvent être conservées au-delà de la durée qui a été nécessaire pour atteindre la finalité de recherche (par exemple, au-delà de la durée d’un projet de recherche déterminé) du moment qu’elles sont ensuite conservées uniquement pour être utilisées à des fins de recherche". Les raisons d'une conservation plus longue des données sont vastes : se protéger d'un éventuel contentieux ou de recours en justice.

De quelles données ai-je besoin ?

On appelle "principe de minimisation" le fait de ne collecter que les données nécessaires pour la recherche. Le RGPD explique que les données récoltées doivent être "adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées". Une des erreurs courantes est, dans le cadre d'une enquête via questionnaire, de demander aux participants leur date de naissance. Or, cette donnée est directement identifiante. Dans ce cas, l'idéal serait de demander l'année voire la tranche d'âge du participant. De même, une information sur le lieu de résidence (nom de commune, code postal, ….) peut permettre indirectement une identification dans les cas de très petites communes par exemple. Le mieux est de toujours se poser la question de prendre une échelle plus globale.

Comment anonymiser mes données ?

L'anonymisation des données concerne le fait de traiter les données de telle sorte que celles-ci ne puissent plus être attribuées à une personne identifiée sans avoir recours à des informations supplémentaires. Afin d'anonymiser les données, le responsable des données va attribuer un pseudo ou un ID au participant. L'idéal est qu'il sera impossible de relier entre elles les données d’un même participant. Une bonne anonymisation des données est basée sur trois critères (article 29)

  • L’individualisation : est-il toujours possible d’isoler un individu ?
  • La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?
  • L’inférence : peut-on déduire de l’information sur un individu ?

Que doit contenir un formulaire d'information et de consentement ?

Exemple de formulaire d'information et de consentement

Informations obligatoires :

  • les coordonnées du délégué à la protection des données de l’organisme, ou d’un point de contact sur les questions liées à la protection des données personnelles
  • l’utilisation qui sera faite des données
  • ce qui autorise l’organisme à traiter ces données
  • les tiers qui auront accès aux données
  • la durée de conservation de vos données
  • Les modalités d’accès à des usagers à leurs droits et la possibilité d’introduire une réclamation à la CNIL
  • L’utilisation des données hors de l’UE
  • la base juridique du traitement de données (c’est-à-dire ce qui autorise légalement le traitement : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.)

Selon le cas :

  • l’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée
  • le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat
  • les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (exemple : prévention de la fraude)
  • le droit au retrait du consentement à tout moment
  • la faculté d’accéder aux documents autorisant le transfert de données hors de l’Union Européenne (exemples : clauses contractuelles types de la Commission européenne)

Comment protéger et stocker les données personnelles ?

Pour une protection efficace des données, il est obligatoire de désigner une personne responsable des données personnelles.

Missions de la personne responsable des données personnelles :

  • Elle doit s'assurer que le traitement des données personnelles a été mené conformément à sa finalité : seules les données nécessaires à la réalisation de la finalité peuvent être collectées.
  • Elle est tenue d’effacer les données personnelles, aussitôt qu’elles ne sont plus nécessaires aux recherches pour lesquelles elles ont été collectées ou dès que les personnes concernées le demandent. (Toutefois, les données collectées peuvent être conservées si leur suppression risquerait "de rendre impossible ou d’entraver sérieusement la réalisation des finalités" du traitement).
  • Elle doit s'assurer que le fichier qui les contient est protégé et n'est accessible qu’aux personnes autorisées.
  • Dans le cas où un autre chercheur souhaite consulter un corpus de données, elle doit demander un engagement écrit de ne pas copier ni diffuser ces données personnelles. C’est en effet une obligation de la part du responsable du corpus, de mettre en œuvre toutes les mesures destinées à protéger les données personnelles (art. 29 du Règlement européen du 27 avril 2016).

Signalement à la CNIL ou au CIL

Dans certaines structures les enquêtes collectant des données à caractère personnel doivent être inscrites au registre du Correspondant informatique et liberté (CIL) de l’établissement. Il n’y a pas de déclaration à faire à la CNIL sauf dans certains cas, notamment la collecte de données sensibles ou le transfert des données hors de l’union européenne.

Stockage des données

Le cycle de conservation des données à caractère personnel peut être divisé en trois phases successives distinctes : la base active, l’archivage intermédiaire et l’archivage définitif.

La base active : c’est la durée d'utilisation courante des données ou autrement dit, la durée nécessaire à la réalisation de la finalité du traitement.

L’archivage intermédiaire : il arrive que les données personnelles soient conservées pour des durées plus longues en archivage intermédiaire, distinctement de la base active (avec accès restreint mais en accord avec les droits et libertés des personnes concernées) à des fins d'archivage, de recherche scientifique ou historique ou de statistiques. Dans le cas d’un archivage intermédiaire, le responsable du fichier doit veiller à ne conserver que les données nécessaires et permettre aux personnes concernées de faire valoir leurs droits : un tri doit donc être effectué parmi la totalité des données collectées pour ne garder que les données indispensables.

Concernant le stockage, le choix du mode d'archivage est libre. Des données peuvent ainsi être archivées :

  • dans une base d’archive spécifique, distincte de la base active, avec des accès restreints,
  • ou dans la base active, à condition de procéder à un isolement des données archivées au moyen d’une gestion des droits d’accès pour les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter.

L’archivage définitif concerne la conservation définitive des données. Il est possible de conserver définitivement des données personnelles s’il y a un intérêt public. Dans ce cas, ces données doivent être transmises puis gérées par les services des archives habilités dans le respect du Livre 2 du Code du Patrimoine.

Nous arrivons à la fin de toute cette législation. J'espère que ça aura été assez clair et pas trop barbant. A bientôt pour un nouvel article ! ;)

NB : L'université de Paris Nanterre a réalisé un PDF très complet sur ce sujet : http://www.u-plum.fr/app/webroot/upload/files/Janvier 2019/Guide RGPD 2019 web.pdf

Laisser un commentaire
*Champs obligatoires
Vérification anti-spam

Quelle est la deuxième lettre du mot owuv ?