Anniversaires, e-conférence omnibus numériques, Posts, Ressources pour chercheurs en droit

Omnibus numérique (VII) : la liberté de recherche à l’épreuve de la responsabilité et des droits fondamentaux, R. Rousseau, S. Munoz, K. Perera, G. Pourquié

La proposition de l’Omnibus numérique VII vise notamment à revisiter la place de la recherche scientifique, jusqu’à présent dépourvue de définition claire et de présomption de compatibilité, dans le cadre juridique de la protection des données à caractère personnel et du respect à la vie privée.   Elle tendrait ainsi à lui conférer, à l’avenir, un statut d’exception responsable et privilégié, assorti d’un pouvoir accru de circulation des données, notamment par le biais d’un Data Act revisité. Cette évolution, si elle promet une meilleure lisibilité du cadre applicable et un renforcement des capacités de partage des données au bénéfice de la recherche, soulève toutefois des interrogations quant à ses effets sur les personnes concernées, en particulier s’agissant de l’effectivité de leurs droits et du maintien d’un niveau élevé de protection de leurs données.

1.  Reconnaissance renforcée de la recherche scientifique au-delà des régimes dérogatoires

Les traitements de données à caractère personnel (ci-après « données personnelles ») nécessaires à la recherche scientifique relevaient des bases légales prévues à l’article 6, le plus souvent fondées sur la mission d’intérêt public des établissements de recherche ou sur le consentement des personnes concernées. Ce cadre était complété par la dérogation prévue à l’article 89, voire dans certains États membres de l’Union européenne, par l’article 9(2)(j) d lorsqu’étaient en cause des données sensibles.  Il permettait en outre d’aménager certaines obligations, notamment en matière d’information, d’exercice des droits ou de durée de conservation.

La proposition Omnibus ne crée pas, à proprement parler, une septième base légale distincte de celles déjà prévues à l’article 6 du RGPD. Toutefois, elle vise à apporter plusieurs clarifications significatives, celles-ci étant également confirmées par le Conseil de l’UE, comme cela été divulgué par Euractiv.

En premier lieu, le texte clarifie le régime de compatibilité encadrant la mise en œuvre des traitements ultérieurs à des fins de recherche scientifique, historique, statistique ou d’archivage d’intérêt public. Concrètement, un traitement ultérieur poursuivant une finalité de recherche scientifique est présumé compatible avec la finalité initiale de collecte. Il n’est donc plus nécessaire de procéder à l’analyse prévue à l’article 6(4) du RGPD, sous réserve du respect du principe de limitation des finalités et de mise en œuvre des garanties appropriées visées à l’article 89.

En deuxième lieu, la notion de « recherche scientifique »[1]au sens du considérant 29 de la supposée proposition du Conseil du 20 février, serait désormais encadrée par des critères objectifs, et ne reposerait plus sur la seule déclaration du responsable du traitement. Elle s’apprécierait notamment au regard de la finalité poursuivie, de l’approche méthodologique retenue et des standards éthiques propres à la discipline, ainsi que du respect des principes de transparence, fiabilité, responsabilité, vérifiabilité et d’intégrité scientifique. Les activités de recherche devraient en outre contribuer, dans le respect des droits des individus, à l’intérêt général, individuel et collectif, tout en veillant à prévenir tout préjudice pour les personnes concernées, notamment en garantissant le respect de leur autonomie et de leur protection dans tous les domaines impactant leur vie.

Une approche « recherche scientifique = carte blanche » ne garantirait ni la stabilité de la confiance ni l’adaptabilité du cadre de la recherche scientifique au fil du temps.

D’ores et déjà, pour aider les responsables de traitement, la CNIL a publié des critères organiques et opérationnels (hors santé), susceptibles d’être utilisés pour justifier qu’un projet puisse être qualifié de « recherche scientifique publique », et souligne la nécessité de démontrer l’existence de motifs d’intérêt public importants dans un domaine donné (ce faisceau d’indices étant également extrapolable, de manière conditionnée à la recherche privée).

À cet égard, il convient de rappeler que la notion de recherche scientifique bénéficie déjà, en droit français, d’un encadrement relativement structuré, notamment au regard de l’article L112-1 du Code de la recherche. La définition proposée au niveau européen, bien qu’ayant le mérite d’exister et de poser un cadre commun pour toute innovation responsable, peut ainsi apparaître, dans sa formulation, plus resserrée ou moins explicite sur certains champs, tels que les sciences humaines et sociales émergeant, émergées et concrétisées Pour autant, elle ne doit pas être interprétée de manière restrictive : il s’agit avant tout d’une tentative de clarification et d’harmonisation, certes perfectible dans sa rédaction et dans son application sur le terrain guidée par les Autorités de Contrôle telles que la CNIL et le CEPD, mais allant dans le sens d’une meilleure prise en compte des activités de recherche. Cette “openness” garantit une stabilité juridique à long terme. Ces activités pourraient être conduites par des entités publiques ou privées, dans des contextes académiques, industriels ou autres, ce qui contribuerait, de facto, à doter la recherche scientifique d’un cadre de traitement à la fois cohérent et objectivé. Ces éclaircissements et avancées méritent toutefois d’être appréhendés avec vigilance. Il convient d’éviter une qualification mécanique ou excessivement extensive, qui ferait de la finalité « recherche scientifique », une base légale quasi systématique et autonome pour tout traitement ultérieur.

En ce sens, la rédaction initiale du considérant 32 de la proposition Omnibus pouvait susciter des inquiétudes, en ce qu’elle énonçait que « le traitement de données à caractère personnel à des fins de recherche scientifique poursuit un intérêt légitime au sens de l’article 6(1)(f) du RGPD », semblant ainsi ériger l’intérêt légitime en fondement quasi systématique. Une telle approche apparaissait difficilement conciliable avec la logique de protection des droits fondamentaux des personnes concernées.

Toutefois, la reformulation proposée par le Conseil dans son document du 20 février semble atténuer sensiblement ce risque, en précisant que le traitement « peut être nécessaire aux fins des intérêts légitimes poursuivis par un responsable du traitement ou par un tiers ». Cette nuance est importante, en ce qu’elle évite toute automaticité et réinscrit le recours à l’intérêt légitime comme base légale dans l’analyse classique, au cas par cas, prévue par le RGPD. Le Conseil ne paraît donc pas suivre, sur ce point, l’approche initialement envisagée par la Commission.  La présomption de « compatibilité » doit donc être appréhendée avec prudence.

À cet égard, il convient d’éviter toute confusion entre la finalité de recherche scientifique et les bases légales prévues par le RGPD. À l’instar des traitements portant sur des données sensibles, qui exigent une analyse distincte combinant une base légale de l’article 6 et une exception de l’article 9, la recherche scientifique ne saurait, à elle seule, constituer une base légale autonome.  Elle doit être comprise comme une finalité du traitement acceptable donc légitime, et non comme une base légale. Le responsable du traitement demeure donc tenu d’identifier, au cas par cas, la base légale appropriée parmi celles de l’article 6, assortie, le cas échéant, des garanties spécifiques de l’article 89.

2.  Renforcement des critères de qualification et de la responsabilité de la recherche scientifique

Partant de cette distinction entre finalité et base légale, la notion de « recherche scientifique », actuellement en négociation interinstitutionnelle, recouvre non seulement la recherche fondamentale, mais aussi la recherche appliquée, le développement technologique et les activités de démonstration (communément appelées POC, pour “Proof Of Concept”), dès lors qu’elles contribuent à l’enrichissement des connaissances ou à leur application innovante, et qu’elles respectent des standards éthiques appropriés.

En contrepartie, le chercheur serait désormais tenu de démontrer de manière proactive que son projet s’inscrit dans le cadre de la recherche scientifique. Il lui incombe donc de documenter, en complément de sa démarche, sa méthodologie et les finalités poursuivies.

Au fil des ans, les orientations des instances européennes, des comités d’éthique et des collectifs de délégués à la protection des données dans le secteur de la recherche (ainsi que des chercheurs eux-mêmes, principalement ceux impliqués dans des travaux appliqués à la conformité) ont souligné que la recherche doit être menée dans un cadre structuré de responsabilité (accountability). L’autorégulation et la discipline professionnelle apparaissent comme essentielles et devront s’inscrire dans un juste équilibre avec les libertés des personnes physiques participant aux recherches, ainsi qu’avec les autres droits fondamentaux en présence, au-delà de la seule liberté de recherche.

La mise en œuvre des projets de recherche s’effectue sous la double supervision des instances institutionnelles de gouvernance de la recherche (ex: responsables scientifiques, directeurs de thèse et de laboratoires, le Comité d’Ethique de la Recherche, le/la Référente d’Intégrité Scientifique, le/la Référente Déontologie) et du DPO. Ce dernier est le principal chef d’orchestre du respect des droits à la protection des données et à la vie privée prenant aussi en compte d’autres droits et libertés fondamentaux, sans ingérence dans les expertises scientifiques ni atteinte à l’intégrité scientifique.

Ce cadre de supervision pour une meilleure anticipation des risques, devient également indispensable pour tout projet de recherche scientifique du secteur privé, dépourvu de conflit d’intérêts et d’une indépendance évaluant l’équilibre l’intérêt commercial et l’intérêt des humains.

Sans cela, les droits des personnes susceptibles d’être concernées, parfois à leur insu, (garantis par le RGPD), pourraient être significativement limités par des exemptions de « recherche » trop larges. Il convient plutôt de positionner le curseur de manière équilibrée, en prévoyant notamment la possibilité d’informer le grand public par des moyens à portée générale, comme la communication publique ou une information différée, l’organisme collecteur informant de la réutilisation ultérieure à des fins de recherche scientifique. Les comités d’éthique compétents peuvent jouer un rôle de promoteur, dans la mesure où ils examinent les projets de recherche scientifique. À ce titre, ils peuvent encourager l’intégration de techniques de protection de la vie privée (privacy enhancing techniques) dans les projets, en accord avec les avis du DPO institutionnel.

Il convient néanmoins de souligner que le texte initial de la proposition Omnibus VII allège également l’obligation de transparence concernant les traitements de données personnelles à des fins de recherche scientifique, y compris en cas de collecte directe et non plus seulement indirecte, comme cela était le cas dans le RGPD jusqu’à présent.

Cette évolution doit toutefois être nuancée : l’amendement proposé par le Conseil (doc. du 20 février) à l’article 13, §5 du RGPD semble en restreindre la portée aux situations où le traitement est mis en œuvre par le même responsable de traitement. À cet égard, il est intéressant de relever que la proposition initiale de la Commission envisageait une approche plus large, en étendant cette possibilité à une transversalité – par exemple le responsable de traitement B qui récupère des données d’un responsable A, pour une recherche, pouvait ne pas en communiquer aux personnes concernées sur ses intentions l’ensemble des responsables de traitement.

Dans ce cadre, l’exception à l’information des personnes ne s’appliquerait que lorsqu’elle s’avèrerait impossible ou impliquerait des efforts disproportionnés, sous réserve de la mise en place des garanties prévues à l’article 89 du RGPD s. Dans un certain nombre de projets de recherche scientifique, les chercheurs devront démontrer en quoi la fourniture de cette information compromettrait l’intérêt scientifique et l’impact de leur projet, ou impliquerait des efforts disproportionnés (par exemple dans le cadre de traitements de données médicales à large échelle).

3- Réutilisation des données pour la recherche et de la recherche

L’Omnibus VII soulève naturellement des questions importantes pour les chercheurs : quelles seront les conséquences pour ceux qui souhaitent récupérer, ouvrir, partager, valoriser ou réutiliser leurs données à l’avenir ? Les modifications proposées faciliteront-elles réellement ces pratiques ?

Un point central concerne la distinction entre données personnelles et données dites anonymisées. Si le chercheur parvient à démontrer que ses protocoles de désidentification (aussi appelé protocoles de dépersonnalisation) garantissent que les individus ne peuvent pas être réidentifiés par des moyens proportionnés, l’Omnibus permettrait de promouvoir un cadre favorisant un meilleure accès et partage des données de recherche. Si ces protocoles sont correctement appliqués et approuvés par les instances de gouvernance des équipes de recherche, cela constituerait un avantage majeur pour la recherche, car ils ouvriraient la possibilité de mettre des données à disposition pour un plus grand nombre de projets scientifiques.

L’Omnibus numérique permettrait en outre de s’appuyer sur un cadre juridique plus clair, incluant notamment des interactions avec le Règlement sur les données (Data Act), afin de démontrer que les organismes pourraient légalement donner accès aux données qu’ils ont collectées ou traitées à des fins de recherche scientifique. Le Data Act prévoit que les utilisateurs de produits ou services connectés puissent accéder aux données qu’ils génèrent et les partager avec des tiers de leur choix, ce qui inclut potentiellement des organisations de recherche ou des projets scientifiques. Il instaure également des principes encadrant la réutilisation des données en cas de besoins exceptionnels (par exemple dans le cadre d’une mission d’intérêt public), permettant aux organismes publics ou de recherche d’accéder à des données détenues par des acteurs privés. ( voir sur ce sujet post précédent d’Antoine Donne)

L’objectif est de reconnaître que la liberté de recherche s’accompagne de responsabilités correspondantes. Les chercheurs et les institutions doivent être en mesure de démontrer un engagement réel et une effectivité dans l’application des principes de protection de la vie privée, notamment la minimisation des données, la limitation des finalités et la protection de la vie privée dès la conception des projets. Ils ne peuvent pas procéder à la collecte de données en s’appuyant sur des normes assouplies ou des garanties réduites. Les mécanismes de contrôle doivent fonctionner de concert avec les délégués institutionnels à la protection des données, les services en charge de la sécurité des systèmes d’information et les comités d’éthique, afin de garantir la transparence et la responsabilité.

Il est également essentiel que les autorités et les organismes de contrôle disposent d’une compréhension précise des pratiques sur le terrain. Ils doivent recevoir des explications claires sur les méthodologies de recherche et les bases juridiques, et les communautés de recherche professionnelle devraient pouvoir contribuer aux décisions éclairées et participer à l’élaboration des lignes directrices (par exemple : lignes directrices en matière d’éthique pour une IA digne de confiance) lors des évolutions réglementaires, y compris celles introduites par des instruments tels que le Data Act.

Bien que les nouvelles mises à jour de ce règlement puissent faciliter l’accès à certaines catégories de données, y compris le partage de données sous conditions spécifiques ou avec une contrepartie, même limitée et non nécessairement monétaire, cela ne doit pas être interprété comme créant un droit généralisé pour les chercheurs d’accéder librement à ces données, qui doivent restées correctement pseudonymisées. Même en cas de partenariats économiques, académiques ou industriels, y compris les collaborations public-privé, les limites imposées par les droits fondamentaux restent pleinement applicables.

Il est temps de reconnaître et d’accepter que la liberté de recherche comporte des limites, tout comme la liberté commerciale. Toutes deux doivent respecter les droits individuels et la vie privée, et être exemptes de toute forme de discrimination envers les minorités. L’innovation et le développement doivent certes bénéficier de données représentant des situations réelles, mais toujours dans le respect des droits fondamentaux des personnes concernées. La question n’est pas de savoir si les données peuvent être utilisées, mais dans quelles conditions elles peuvent l’être de manière licite, proportionnée et assortie de garanties organisationnelles et techniques appropriées.

Cela nécessite une mise en œuvre robuste de la protection des données dès la conception et par défaut, dans l’utilisation et la réutilisation des données, ainsi qu’un engagement constant vis-à-vis des orientations évolutives des autorités de contrôle, du Comité européen de la protection des données (EDPB) et des instances éthiques et professionnelles compétentes.

Conclusion

Sans revenir sur les incertitudes liées à la révision de la définition des données à caractère personnel, qui pourrait avoir des répercussions pour la recherche scientifique, il convient de souligner un point positif : la réforme Omnibus Digital éclaire déjà ce qui peut être qualifié de recherche scientifique, réduisant ainsi les incertitudes sur le cadre juridique applicable à la recherche. Même si certains arbitrages restent nécessaires, il est probable que les chercheurs en tirent un avantage et bénéficient d’une légitimité renforcée pour partager et valoriser leurs données. En contrepartie, ce texte pourrait imposer des contraintes supplémentaires à d’autres acteurs, tels que les responsables de traitement pour rendre compte de leur conformité, les DPO dans leur rôle de conseil sur l’interprétation du RGPD, ou les personnes concernées, notamment dans l’exercice de leurs droits (limitation). L’enjeu majeur reste donc de trouver un équilibre entre l’ouverture de l’accès et de l’utilisation des données avec la protection des individus et de leurs droits fondamentaux.

La recherche scientifique devrait bénéficier d’une clarté réglementaire et de cadres de soutien, mais toujours dans le respect de la responsabilité, de la proportionnalité et des droits fondamentaux.

[1] Il convient de rappeler que le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible. En pareils cas, il n’est pas nécessaire de déterminer, sur la base de l’article 6, paragraphe 4, du règlement (UE) 2016/679, si la finalité du traitement ultérieur est compatible avec la finalité pour laquelle les données à caractère personnel sont initialement collectées. »

Cet article a été coécrit par :

  • Rebecca Rousseau, déléguée adjointe à la protection des données de l’Université Paris 1 Panthéon-Sorbonne ;
  • Dr Sandrine Munoz, juriste nouvelles technologies ;
  • Kumudithe Perera, juriste nouvelles technologies ;
  • Guillaume Pourquié, délégué à la protection des données

Revoir l’ensemble des posts de notre e-conférence sur les omnibus numériques

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.