Le Règlement général de protection des données s’applique également à la recherche en sciences humaines et sociales. Comment bien appliquer ce cadre juridique sans renoncer à ses ambitions scientifiques, sans remettre en cause sa méthodologie ? Comment concilier droit des données personnelles, éthique de la recherche, et efficacité scientifique ? Ces questions font l’objet aujourd’hui de discussions, parfois de tensions, et surtout de beaucoup de tâtonnements. D’où l’idée de regrouper ici un certain nombre de travaux et de ressources sur le sujet.
Tous les travaux référencés ici ne sont pas forcément en accord les uns avec les autres. Le but de cette page est aussi de montrer la diversité des points de vue exprimés afin de favoriser l’intercompréhension entre acteurs soumis à des contraintes parfois opposées, ou ayant des approches et des habitudes professionnelles divergentes. Leur seul point commun est d’aborder la question du droit et de l’éthique de la protection des données à caractère personnel dans le domaine de la recherche en SHS.
Les textes parlant de recherche scientifique dans d’autres domaines – et notamment en matière de données de santé – ne sont pas référencées ici.
Les différentes ressources sont référencées en vrac.
Guide du CNRS pour la protection des données dans la recherche en SHS
Le CNRS a publié en 2019 un guide sur la protection des données dans la recherche en SHS. Ce guide, très pédagogique, présente de façon claire les définitions et les principales règles du RGPD et la façon dont ils se déclinent sur le terrain. Par exemple, page 14, il est précisé que la finalité d’un traitement à des fins de recherche en SHS est généralement la problématique de la recherche. Un autre exemple est le fait d’énoncer clairement qu’une recherche effectuée dans le cadre de la recherche publique peut se fonder sur la mission de service public. Des explications claires sont également données sur les plans de gestion des données, avec de nombreuses ressources utiles et opérationnelles pour les collègues ayant à monter des projets de recherche. Il s’agit donc d’un document incontournable pour monter un projet de recherche en SHS.
Quelques éléments paraissent toutefois encore à préciser. C’est le cas, par exemple, de la présentation de la notion d’anonymisation qui n’insiste pas suffisamment sur la difficulté – voire souvent l’impossibilité – de parvenir à un anonymat robuste. Compter sur l’anonymat pour espérer sortir du cadre d’application du RGPD est généralement un piège, même si une démarche de pseudonymisation tendant à l’anonymisation est souhaitable dans tous les cas. Cela peut paraître une évidence pour les rédacteurs du document rompus à la protection des données, mais moins pour le public plus large des enseignants-chercheurs de l’ESR. Une autre précision importante aurait également été de distinguer l’anonymat du traitement en général, du simple anonymat de la publication, les deux étant souvent confondus en pratique sur le terrain. Le cadre spécifique aux traitements à des fins de recherche est abordé, mais parfois seulement à la marge. Par exemple, page 16, la possibilité de recourir à la dérogation au droit d’accès est évoquée, mais ses bornes sont mal précisées. Par ailleurs, un travail est encore à faire, probablement au niveau de chaque discipline et des laboratoires plus que du CNRS, sur l’interaction entre RGPD, éthique de la recherche – certaines considérations éthiques pouvant, paradoxalement, générer des tensions avec certains principes de la protection des données – et les considérations épistémologiques et méthodologiques.
Un autre point faible est la faible prise en compte des tensions que les questions soulevées par la réglementation des données de recherche – que ce soit l’open data, le droit de la propriété intellectuelle, ou le RGPD – génèrent. Une confusion semble également entretenue sur la notion de « responsable du traitement », que le guide présente comme étant le directeur d’unité. Cela entretient d’une part la confusion entre la notion de responsable du traitement dans le RGPD et celle – qui est l’acception retenue dans ce guide – de personne désignée comme responsable au sein d’un responsable du traitement, de la mise en œuvre d’un traitement. D’autre part, cela renforce le pouvoir hiérarchique du directeur d’unité et peut générer des craintes quant à la pérennité du principe d’indépendance des chercheurs et enseignants-chercheurs. Cela peut être de nature à affaiblir l’acceptation des règles de protection des données par les collègues. Enfin, le guide opère une distinction sans fondement entre « chercheur » et « doctorant », mais n’évoque nulle part la question des étudiants, qu’ils soient – comme trop souvent – des terrains facilement disponibles pour des enseignants-chercheurs vis-à-vis de qui ils peuvent être un public vulnérable car soumis à leur autorité, ou bien qu’ils mènent eux-même un travail de recherche.
Malgré ses limites, brièvement évoquées ci-dessus, et qui démontrent à la fois la nécessité de discussions qui sortent d’une logique top-down au sein de la profession, et la nécessité de justement mener des études de terrain sérieuses sur le sujet, ce document reste une entrée incontournable pour comprendre la façon dont le RGPD s’applique à nos recherches en SHS, et apporte des clarifications précieuses sur des sujets importants comme le plan de gestion des données ou la gouvernance de la protection des données dans la recherche publique en SHS.
Avis du G29 sur les techniques d’anonymisation
Cet avis, assez détaillé, publié par le G29 [1]Le groupe de travail de l’Article 29 regroupait, jusqu’en mai 2018, les autorités nationales de protection des données de l’UE. Depuis l’entrée en vigueur du RGPD, le … Continue reading. C’est un guide utile pour comprendre les différentes techniques statistiques d’anonymisation de jeux de données.
Cet avis – qui à l’heure actuelle n’est disponible qu’en anglais, ce qui constitue une rupture d’égalité manifeste entre citoyens européens – contient une section importante dédiée aux traitements de données personnelles à des fins de recherche scientifique (pages 30 à 32).
Lignes directrices du G29 sur la notion de consentement dans le RGPD (ancienne version)
Cet avis comprend une section (la section 7.2) sur le cadre juridique applicable aux traitements de données personnelles à des fins de recherche scientifique en matière de consentement.
Article de Mark Hansen d’explication sur la technique dite de « vie privée différentielle »
L’article vulgarise le fonctionnement du mécanisme de la vie privée différentielle, qui est une technique statistique dont il est régulièrement question, et qui permet de gagner en anonymat, et d’évaluer le degré de robustesse de l’anonymat d’un jeu de données.
Guillaume LATZKO-TOTH et Madeleine PASTINELLI, « Par-delà la dichotomie public/privé : la mise en visibilité des pratiques numériques et ses enjeux éthiques », tic&société [En ligne], Vol. 7, N° 2 | 2ème semestre 2013, mis en ligne le 01 juin 2014, consulté le 21 février 2019. URL : http://journals.openedition.org/ticetsociete/1591
Cet article de Guillaume LATZKO-TOTH et Madeleine PASTINELLI s’interroge sur l’éthique de l’accès de chercheurs-euses en SHS à des documents publiés en ligne, dont le statut public ou privé devient difficile à déterminer étant donné les usages des internautes. L’article aborde notamment l’importance de distinguer le consentement donné à participer à une étude, d’une part, et celui à être l’objet d’un discours savant, d’autre part. Il développe aussi une réflexion sur la façon dont la publicité scientifique de pratiques sociales peut en transformer le sens.
Site web du réseau SupDPO (ex-SupCIL)
Le réseau SupDPO regroupe les délégués à la protection des données de l’enseignement supérieur et de la recherche. L’essentiel du site web est réservé aux membres du réseau, mais quelques ressources sont également regroupées sur une page ouverte au public. Un autre site, dédié au public, contient de nombreuses ressources accessibles, comme des rapports annuels (ici pour l’année 2018), les résultats d’enquêtes menées auprès des DPO universitaires (ici pour les résultats de l’enquête de 2017).
Les quinze conseils de SupDPO aux chercheurs en matière de protection des données (merci à @Geekiviste sur Twitter pour le signalement)
Publié en 2020, ce court guide a le mérite de faire la synthèse des étapes à ne pas oublier : déclarer ses traitements au DPO, penser aux plans de gestion des données lors de la soumission de projets européens, penser à l’anonymisation … tout en gardant en tête que c’est compliqué d’avoir des données vraiment anonymes.
Ce guide est généraliste. Il s’adresse à l’ensemble des chercheurs, et ne rentre pas dans beaucoup de détails (ex : études d’impact, gestion des droits des personnes concernées, conventions de co-responsabilité … ) mais cela ne l’empêche pas d’être un document utile de sensibilisation, que chaque université ou chaque discipline pourra (par le biais des sociétés savantes, des sections du CNU ou autres) décliner utilement en des conseils plus spécifiques et plus proches de leur terrain d’application.
Ce guide, réalisé par Catherine Delplanque, Nawale Lamrini, Fabrice Leclère, Lionel Maurel, Isabelle Autran, Nabil Belkouch, Jose-Manuel Coelho, Claire Hanen, et
Julie Nordin, vise à vulgariser le RGPD appliqué aux projets de recherche en SHS. Sa force réside dans son format pédagogique, dans son explication du régime juridique aux consortiums de recherche, et dans les liens à avoir en tête avec le droit de la propriété intellectuelle, mais il n’entre pas dans les détails du cadre dérogatoire applicable dans certains cas à la recherche scientifique (art. 89 du RGPD) ni dans le détail de quand et comment réaliser une étude d’impact au sens de l’article 35 du RGPD.
| ↑1 | Le groupe de travail de l’Article 29 regroupait, jusqu’en mai 2018, les autorités nationales de protection des données de l’UE. Depuis l’entrée en vigueur du RGPD, le Comité européen de protection des données a pris son relais |