Recherche

Les règles générales du RGPD et de la Loi-cadre s'appliquent à la recherche menée à l'aide de données à caractère personnel. Les données anonymes qui sont des informations qui ne peuvent raisonnablement plus être reliées à une personne physique identifiée ou identifiable, et les données de personnes décédées ne relèvent pas du champ d'application du RGPD.


La notion de recherche est interprétée au sens large dans le RGPD (surtout dans les considérants 159 et suivants).

Le RGPD reconnaît aussi clairement l'importance de la recherche scientifique, statistique et historique. C'est ce qui ressort de plusieurs assouplissements de la réglementation, axés spécifiquement sur la recherche, comme :

  • la possibilité de réutiliser pour la recherche des données initialement collectées pour d'autres finalités (présomption de compatibilité) ;
  • la possibilité de consentement "plus large" pour certains domaines de la recherche scientifique ;
  • un délai de conservation plus long pour les finalités de recherche ;
  • la possibilité de limiter les droits de personnes concernées en cas de recherche en cours ; 
  • ….

Le respect de la protection des données  renforce non seulement la confiance des personnes faisant l'objet de la recherche et des citoyens en général, mais contribue également à la qualité et à la fiabilité des (résultats de) recherches.

En tant que chercheur, il est possible de mener une recherche à l'aide de données collectées spécialement à cet effet (traitement initial).  Il est toutefois également possible de réutiliser des fichiers de données existants à des fins de recherche (traitement ultérieur).

Traitement initial

La recherche menée à l'aide de données à caractère personnel s’effectue de manière licite lorsqu’elle trouve un fondement juridique à l'article 6 du RGPD et - dans la mesure où des catégories particulières de données sensibles sont également traitées - à l'article 9, § 2 du RGPD.

Le consentement de la personne concernée n'est certainement pas le seul fondement juridique à prendre en compte et n'est généralement pas le plus recommandé.

Il faut avant tout faire une distinction claire entre d'une part, le consentement éclairé pour participer à une recherche et d'autre part, le consentement comme fondement pour le traitement de données à caractère personnel qui s'ensuit.

Un consentement doit en outre être libre, spécifique, éclairé et univoque. Le consentement peut également être retiré à tout moment ; il ne constitue dès lors pas le fondement le plus stable pour la recherche.

La recherche peut également s'inscrire dans le cadre de l'accomplissement d'une mission d'intérêt public (article 6.  1.e) du RGPD) ou de la défense d'un intérêt légitime dans le chef du chercheur (article 6.1.f) du RGPD).

Pour la recherche avec des catégories particulières de données à caractère personnel "sensibles", l'article 9.2.j) du RGPD prévoit un fondement spécifique pour la recherche scientifique, historique ou statistique. 

Traitement ultérieur

La règle est que les données à caractère personnel ne peuvent être utilisées que pour une finalité déterminée et clairement définie au préalable (ainsi, les informations collectées par un médecin dans le cadre de soins ne peuvent par exemple pas être réutilisées sans conditions pour l'évaluation des risques en vue de conclure un contrat d'assurance).  Seules les données nécessaires pour réaliser cette finalité définie préalablement peuvent être traitées (les informations concernant par exemple les revenus d'une personne ne sont en principe pas nécessaires pour un diagnostic de la grippe).

Pour permettre la recherche historique, statistique ou scientifique, la règle précitée est en grande partie assouplie :

  • après avoir atteint l'objectif initial, les données à caractère personnel peuvent quand même encore être conservées à condition qu'elles soient uniquement utilisées à des fins de recherche (article 5.1.e) du RGPD)
  • le traitement à des fins historiques, statistiques et scientifiques est toujours considéré comme étant compatible avec les finalités initiales, à condition que le chercheur suive les règles telles que décrites à l'article 89.1 du RGPD (article 5.1.b) du RGPD).

La finalité de recherche est donc considérée comme un traitement licite compatible avec les finalités initiales, pour lequel aucun fondement juridique distinct n'est requis (voir le considérant 50 du RGPD). 

Le RGPD impose différentes responsabilités et obligations aux responsables (conjoints) du traitement et aux sous-traitants. Il est donc important de déterminer ces rôles dès le début d'une recherche et, le cas échéant, de conclure à cet égard des contrats de collaboration ou de sous-traitance (articles 26 et 28 du RGPD).

Le responsable du traitement détermine la finalité et les moyens du traitement (article 4.7) du RGPD) : il peut s'agir du sponsor de la recherche, mais aussi du chercheur lui-même.  Dans le cas d'une recherche au sein d'un consortium, il sera souvent question de responsables conjoints du traitement. 

Un chercheur peut également intervenir en tant que sous-traitant (article 4.8) du RGPD) lorsqu'il mène des recherches pour le compte d'une entreprise ou d'une autorité (par exemple une recherche stratégique).  Un chercheur peut ensuite recourir lui-même aussi à d'autres chercheurs qui seront des sous-traitants pour certains aspects d'un projet de recherche.Pour chaque recherche concrète, il conviendra de vérifier comment les différents rôles doivent être attribués.

L'article 89.1 du RGPD exige que le traitement de données à caractère personnel à des fins de recherche soit soumis à des garanties appropriées.   Ces garanties doivent permettre la prise de mesures techniques et organisationnelles pour garantir le principe de "minimisation des données" (article 5.1.c) du RGPD), comme par exemple la pseudonymisation. 

En tant que chercheur, il est donc obligatoire d'utiliser des données anonymes (à savoir des données qui ne permettent pas ou plus l'identification de la personne concernée) pour autant que cela permette de réaliser la finalité de recherche visée.  Lorsque des données anonymes ne permettent pas de réaliser la finalité, un chercheur peut recourir à des données à caractère personnel pseudonymisées (par exemple des études longitudinales où les données de personnes concernées doivent pouvoir être couplées au fil du temps).  Lorsque cela ne permet pas non plus de réaliser la finalité visée, on peut exceptionnellement utiliser des données à caractère personnel non pseudonymisées (par exemple lorsqu'une recherche nécessite une prise de contact avec la personne concernée comme dans le cas d'une étude clinique).

La proportionnalité ou la minimisation des données signifie en effet non seulement la limitation des variables nécessaires, mais aussi la pseudonymisation ou l'anonymisation de ces variables quand c'est possible.

La simple pseudonymisation ou suppression des données d'identification (comme le nom, l'adresse, …) ne sera pas toujours suffisante pour pouvoir parler de données pseudonymisées ou anonymes.  Il convient également de veiller à ce que certaines données intrinsèques ou combinaisons de ces données ne permettent pas déjà en soi une réidentification de la personne concernée.

Dans le cadre du principe de proportionnalité, les données à caractère personnel peuvent être conservées pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité visée (article 5.1.e) du RGPD).

La transparence à l'égard des personnes qui sont concernées par une recherche est bien entendu très importante (article 12 du RGPD).  La transparence requiert que toutes les informations relatives au traitement de données soient communiquées aux personnes concernées sous une forme concise, compréhensible et facilement accessible.  On utilisera à cet effet un langage clair et simple.  Les informations à fournir sont (articles 13 et 14 du RGPD) :

  • l'identité et les coordonnées du chercheur et (le cas échéant) du délégué à la protection des données ;
  • les finalités du traitement, ainsi que le fondement juridique ;
  • une explication relative à l'intérêt légitime du chercheur, pour autant qu'il s'agisse du fondement juridique de la recherche ;
  • la mention que le consentement peut être retiré à tout moment, pour autant que le consentement soit le fondement juridique de la recherche ;
  • les (catégories de) données à caractère personnel (si celles-ci ne sont pas collectées directement auprès de la personne concernée) ;
  • les (catégories de) destinataires des données ;
  • le cas échéant, l'intention de transférer des données à caractère personnel vers un pays tiers ou une organisation internationale ainsi que les garanties prévues en matière de protection des données ;
  • la durée de conservation ;
  • la source des données à caractère personnel (si celles-ci ne sont pas collectées directement auprès de la personne concernée) ;
  • les droits des personnes concernées :
    • droit d'accès et de rectification ou d'effacement des données à caractère personnel ou limitation du traitement ;
    • droit d'opposition et droit à la portabilité des données ;
    • droit de porter plainte auprès de l'APD.

Lorsqu'il est impossible au chercheur de fournir les informations précitées directement à la personne concernée ou si cela demande des efforts disproportionnés (en cas de traitement ultérieur par exemple), il s'efforcera de diffuser ces informations d'une autre manière (article 14.5.b) du RGPD).  

Le RGPD prévoit plusieurs droits pour les personnes concernées dont les données à caractère personnel sont traitées.  Dans ce cadre, il s'agit :

  • du droit d'accès (article 15 du RGPD)
  • du droit de rectification (article 16 du RGPD)
  • du droit à l'effacement (article 17 du RGPD)
  • du droit à la limitation du traitement (article 18 du RGPD)
  • du droit à la portabilité des données (article 20 du RGPD)
  • du droit d’opposition (article 21 du RGPD)

L'article 89.2 du RGPD dispose que la réglementation peut prévoir des dérogations ou limitations aux droits issus des articles 15, 16, 18 et 21 du RGPD, pour autant que cela soit nécessaire pour atteindre la finalité de recherche visée.  On peut penser par exemple à une dérogation au droit d'accès dans le cas d'une recherche en double aveugle avec placebo.

Dans la mesure où un chercheur voudrait limiter certains droits des personnes concernées parce que la réussite de la recherche le requiert, il doit également, en vertu de l'article 89.2 du RGPD, respecter les dispositions du Titre 4 (articles 186 e.s.) du RGPD :

  • le registre des activités de traitement doit ainsi mentionner la motivation de l'utilisation de données à caractère personnel pseudonymisées ou non et de la limitation des droits des personnes concernées ;
  • en cas de traitement ultérieur, le chercheur devra conclure un contrat avec le responsable du traitement initial ;
  • le Titre 4 précité régit ainsi la manière dont - et par qui - les données à caractère personnel sont anonymisées ou pseudonymisées en vue du traitement à des fins de recherche ;

En matière de sécurité de l'information, le chercheur prend les mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel qu'il traite.  Il tiendra compte à cet égard :

  • de l'état des connaissances ; 
  • des coûts de mise en œuvre ; 
  • de la nature, de l'ampleur, du contexte et des finalités du traitement ;
  • des risques pour les personnes concernées, dont le degré de probabilité et de gravité varie.
  • À cet effet, le chercheur se basera en premier sur l'article 32 du RGPD, qui mentionne :
  • la pseudonymisation et le cryptage ;
  • la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes de traitement ;
  • le rétablissement de la disponibilité et de l'accès aux données en cas d'incident physique ou technique ;
  • une procédure d'évaluation de l'efficacité des mesures de protection.

Vous trouverez sur ce site Internet une recommandation relative aux mesures de sécurité à respecter pour prévenir les fuites de données.

Dans la mesure où la recherche implique aussi un traitement de catégories particulières de données à caractère personnel "sensibles", le chercheur respectera également l'article 9 de la loi du 30 juillet 2018 (ou LTD), ce qui implique plus précisément que :

  • le chercheur doit désigner les (catégories de) personnes qui peuvent consulter des données à caractère personnel (avec description de leur qualité à cet égard) ;
  • cette liste doit être tenue à la disposition de l'APD ;
  • ces personnes doivent être tenues au respect du caractère confidentiel des données visées par une obligation légale ou statutaire ou par une disposition contractuelle équivalente.

En lien avec cette obligation de sécurité, un chercheur doit également notifier d'éventuelles violations de la sécurité à l'APD ainsi que, dans certains cas, aux personnes concernées elles-mêmes (voir les articles 33 et 34 du RGPD).

Les chercheurs et instituts de recherche doivent tenir à jour un registre des activités de traitement (article 30 du RGPD).  Il s'agit d'une obligation de documentation interne qui s'inscrit dans le cadre du principe de "responsabilité".  Dans ce registre, les chercheurs, qu'ils soient responsables du traitement ou sous-traitants, établissent un relevé des traitements de données à caractère personnel qu'ils réalisent.

L'APD met à disposition sur ce site Internet un modèle de registre de traitement.

La désignation d'un DPO est obligatoire dans la mesure où un chercheur/un institut de recherche (article 37 du RGPD) :

  • est une autorité publique ou un organisme public ;
  • a des activités de base qui consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • est principalement chargé d'un traitement à grande échelle de catégories particulières de données à caractère personnel "sensibles".

 

Lorsqu'un traitement de données, compte tenu de sa nature, de sa portée, de son contexte et de ses finalités, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, une AIPD doit être réalisée (article 35 du RGPD).  Cette analyse met en évidence les risques ainsi que les mesures pour lutter contre ces risques.

Les chercheurs doivent également vérifier si le traitement lié à leur recherche nécessite une AIPD.  Parmi les éléments qui peuvent constituer une indication d'une recherche présentant un risque élevé pour les droits et libertés des personnes concernées, on peut citer :

  • un traitement de catégories particulières de données à caractère personnel "sensibles" ;
  • un traitement concernant des personnes vulnérables (par exemple des enfants, des malades, des détenus, …) ;
  • un traitement de données à grande échelle, en raison du nombre important de données et/ou de personnes concernées ;
  • un traitement impliquant un croisement ou une combinaison de données provenant de différentes sources ;
  • une limitation des droits des personnes concernées ;
  • une utilisation de données à caractère personnel non pseudonymisées ;
  • ...

Étant donné que le RGPD assure un même niveau de protection des données au sein de l'Union européenne, les données à caractère personnel peuvent y circuler librement. Les transferts de données hors Union européenne sont en principe interdits, sauf si un niveau de protection adéquat est garanti via :

  • une décision d'adéquation : une décision par laquelle la Commission européenne a constaté qu'un pays tiers ou une organisation internationale assure un niveau de protection adéquat (article 45 du RGPD) ;
  • des garanties appropriées en raison notamment de règles d'entreprise contraignantes approuvées, de clauses types ou de codes de conduite (articles 46 et 47 du RGPD).

À défaut, le consentement explicite des personnes concernées pourra être demandé pour des transferts occasionnels, après avoir informé celles-ci des risques d'un tel transfert (article 49 du RGPD).
 

Lorsqu'un chercheur réutilise des données de santé (par exemple des données d'un dossier de patient), cette réutilisation implique une communication de données de santé qui doit être soumise préalablement à la Chambre Sécurité sociale et Santé du Comité de sécurité de l'information.  L'article 42, § 2, 3° de la loi du 13 décembre 2006 portant dispositions diverses en matière de santé prescrit en effet que ce Comité de sécurité de l'information doit délivrer une délibération pour toute communication de données à caractère personnel relatives à la santé, sauf dans les cas suivants :

  • la communication entre des professionnels des soins de santé qui sont tenus au secret professionnel et qui sont associés en personne à la prestation de soins à l'égard du patient ;
  • la communication qui est autorisée par la réglementation, après avis de l'APD ;
  • la communication entre des instances d'une même Communauté ou Région, qui ne font pas usage des services de base de la plate-forme eHealth.