Un régime spécifique en matière de protection des données à caractère personnel dans le cadre de la recherche scientifique était déjà organisé en Belgique avant l’entrée en vigueur du RGPD. Celui-ci est désormais modifié par le RGPD et la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel qui vient d’être publiée. Nous avons déjà procédé à une première analyse globale de cette loi lors du dépôt du projet de texte.
Voyons ici plus spécifiquement quels sont les avantages et le cadre de ce régime pour les chercheurs belges.
Cinq avantages de la finalité de recherche scientifique lors de l’application du RGPD
- Une durée de conservation des données plus longue peut se justifier.
- La finalité poursuivie par le chercheur peut être décrite dans des termes plus généraux que pour un traitement classique de données.
- Les droits des personnes concernées (accès, rectification, limitation, opposition, effacement, portabilité) peuvent être limités s’ils risquent de rendre impossible ou d’entraver sérieusement la réalisation des finalités de recherche.
- Une réutilisation de données à des fins scientifiques est présumée compatible avec la finalité de traitement originaire, ce qui est un avantage certain à l’ère du big data,
- Enfin, il s’agit d’une hypothèse où les données particulières (données relatives à la santé ou à des motifs de discrimination) peuvent être traitées sans le consentement de la personne concernée.
Par ailleurs, si la recherche prend place dans un cadre universitaire, le chercheur pourra revendiquer de nombreuses autres exemptions, examinées ici.
Cinq règles à respecter par les chercheurs belges
La loi belge s’attarde longuement sur la finalité de recherche scientifique. Elle ajoute des obligations à charge du chercheur, en plus de celles qui s’imposent à tous les responsables de traitement, bien que l’Autorité de protection des données doute que le RGPD lui octroie ce pouvoir. (Dans le futur, le chercheur pourra toutefois être dispensé des 4 premières obligations listées, lorsqu’un Code de conduite aura été approuvé par l’Autorité de protection des données et qu’il s’engagera à le respecter).
1. Anonymiser/pseudonymiser dès que possible
La nouvelle loi belge reprend le principe déjà en vigueur antérieurement. Si l’anonymisation est possible, il ne s’agit plus de données à caractère personnel et le RGPD ne s’applique plus du tout.
Ce n’est que si l’anonymisation des données ne permet pas d’atteindre les finalités recherchées que la recherche peut utiliser des données pseudonymisées. De même, ce n’est que si des données pseudonymisées ne permettent pas d’atteindre cette finalité que des données non pseudonymisées peuvent être utilisées. Le chercheur doit donc motiver dès le début de ses travaux les raisons qui justifient le type de données avec lesquelles il travaille.
Quelle méthode adopter ? Ni le RGPD, ni la loi belge ne préconisent une méthode plutôt qu’une autre. C’est l’éventuel délégué à la protection des données qui devra conseiller le chercheur à ce sujet.
2. Désigner plus fréquemment un DPD
Si le traitement de données présente un risque élevé pour les droits et libertés des sujets étudiés, le chercheur doit non seulement réaliser une analyse d’impact préalable, mais également désigner un délégué à la protection des données. L’ancienne Commission de protection de la vie privée a d’ores et déjà édicté un projet de liste d’hypothèses dans lesquelles ce risque élevé est rencontré.
Il s’agit d’un cas qui s’ajoute aux trois hypothèses de désignation d’un DPD déjà prévues par le RGPD.
3. Lors de l’obtention des données
Comme pour tous les traitements, la RGPD implique de détailler davantage la police de protection des données. En cas de collecte directe des données auprès des sujets étudiés, le chercheur doit porter à leur connaissances les informations exigées dans tous les cas par le RGPD mais aussi :
- si les données sont anonymisées ou non pour les besoins de la recherche (voir point 1),
- s’il est dérogé ou non aux droits prévus par le RGPD pour les personnes concernées.
En cas d’utilisation de données obtenues auprès d’une source externe, le chercheur ne doit plus interroger préalablement l’Autorité de protection des données. Par contre, il doit conclure une convention avec le responsable de traitement initial (sauf s’il s’agit de données publiques ou si le chercheur agit sur la base d’un mandat légal).
4. Registre des traitements
Comme tout responsable de traitement, le chercheur doit tenir un registre des traitements. Des mentions spécifiques doivent y figurer en cas de recherche scientifique, et ce préalablement à la collecte :
- la justification de pseudonymiser ou non les données,
- s’il y a lieu ou non de limiter les droits des personnes concernées.
Doivent aussi y être annexées :
- l’information délivrée aux sujets de l’enquête lors de la collecte de données ou la convention conclue avec le responsable de traitement initial (voir point précédent).
- s’il s’agit de données sensibles, l’analyse d’impact qui a le cas échéant été réalisée.
5. Limites à la diffusion des données
- Après anonymisation
Les données de recherche anonymisées et les résultats de recherches qui ne contiennent que des données anonymes ne présentent plus de caractère personnel et ne sont donc plus régis par le RGPD. Ils peuvent par conséquent être communiqués librement.
- Après pseudonymisation
Les données pseudonymisées peuvent être transmises à un destinataire précis dans tous les cas. Les résultats de recherche ne contenant que des données pseudonymisées peuvent aussi être diffusés au grand public, sauf s’il s’agit de données particulières.
- Dans les autres cas
Les autres données peuvent être transmises à un destinataire précis, sauf si ça a été interdit par la convention conclue avec la source des données. Toutefois, pour les données particulières, les données pénales et les données qui risquent de nuire à la sécurité de la personne concernée, ce tiers ne peut qu’en prendre note manuscritement. Une transmission en masse n’est donc pas possible.
Leur diffusion au public n’est pas possible sauf si les sujets de recherche ont donné leur consentement, si les données ont été rendues publiques par le sujet lui-même, si les données ont une relation étroite avec le caractère public ou historique de l’individu étudié ou des faits dans lesquels il a été impliqué. Ces exceptions semblent étrangement s’appliquer aussi aux données particulières.
Ce qui disparaît
Certaines obligations antérieures sont par contre supprimées :
- Le chercheur ne doit plus faire de déclaration de traitement préalable auprès de l’Autorité de protection des données, ni l’interroger,
- Le chercheur ne doit plus rédiger un plan de sécurité en bonne et due forme. Mais le principe d’accountability s’applique à lui comme à tous les autres responsables de traitement. Il doit donc documenter ses choix (ampleur des données collectées, mesures de sécurité etc.).
Ons advies:
Le chercheur doit rapidement adapter sa pratique à la nouvelle législation, afin de ne pas commettre d’infraction.
Pour rappel, les violations du RGPD et de la nouvelle loi belge peuvent être sanctionnées par des amendes administratives dont le plafond s’élève à 20.000.000 € ou 4% du chiffre d’affaires mondial du groupe auquel appartient le chercheur.