Ressources sur la protection des données dans la recherche en SHS

Le Règlement général de protection des données s’applique également à la recherche en sciences humaines et sociales. Comment bien appliquer ce cadre juridique sans renoncer à ses ambitions scientifiques, sans remettre en cause sa méthodologie ? Comment concilier droit des données personnelles, éthique de la recherche, et efficacité scientifique ? Ces questions font l’objet aujourd’hui de discussions, parfois de tensions, et surtout de beaucoup de tâtonnements. D’où l’idée de regrouper ici un certain nombre de travaux et de ressources sur le sujet.

Tous les travaux référencés ici ne sont pas forcément en accord les uns avec les autres. Le but de cette page est aussi de montrer la diversité des points de vue exprimés afin de favoriser l’intercompréhension entre acteurs soumis à des contraintes parfois opposées, ou ayant des approches et des habitudes professionnelles divergentes. Leur seul point commun est d’aborder la question du droit et de l’éthique de la protection des données à caractère personnel dans le domaine de la recherche en SHS.

Les textes parlant de recherche scientifique dans d’autres domaines – et notamment en matière de données de santé – ne sont pas référencées ici.

Les différentes ressources sont référencées en vrac.

Guide du CNRS pour la protection des données dans la recherche en SHS

Le CNRS a publié en 2019 un guide sur la protection des données dans la recherche en SHS. Ce guide, très pédagogique, présente de façon claire les définitions et les principales règles du RGPD et la façon dont ils se déclinent sur le terrain. Par exemple, page 14, il est précisé que la finalité d’un traitement à des fins de recherche en SHS est généralement la problématique de la recherche. Un autre exemple est le fait d’énoncer clairement qu’une recherche effectuée dans le cadre de la recherche publique peut se fonder sur la mission de service public. Des explications claires sont également données sur les plans de gestion des données, avec de nombreuses ressources utiles et opérationnelles pour les collègues ayant à monter des projets de recherche. Il s’agit donc d’un document incontournable pour monter un projet de recherche en SHS.

Quelques éléments paraissent toutefois encore à préciser. C’est le cas, par exemple, de la présentation de la notion d’anonymisation qui n’insiste pas suffisamment sur la difficulté – voire souvent l’impossibilité – de parvenir à un anonymat robuste. Compter sur l’anonymat pour espérer sortir du cadre d’application du RGPD est généralement un piège, même si une démarche de pseudonymisation tendant à l’anonymisation est souhaitable dans tous les cas. Cela peut paraître une évidence pour les rédacteurs du document rompus à la protection des données, mais moins pour le public plus large des enseignants-chercheurs de l’ESR. Une autre précision importante aurait également été de distinguer l’anonymat du traitement en général, du simple anonymat de la publication, les deux étant souvent confondus en pratique sur le terrain. Le cadre spécifique aux traitements à des fins de recherche est abordé, mais parfois seulement à la marge. Par exemple, page 16, la possibilité de recourir à la dérogation au droit d’accès est évoquée, mais ses bornes sont mal précisées. Par ailleurs, un travail est encore à faire, probablement au niveau de chaque discipline et des laboratoires plus que du CNRS, sur l’interaction entre RGPD, éthique de la recherche – certaines considérations éthiques pouvant, paradoxalement, générer des tensions avec certains principes de la protection des données – et les considérations épistémologiques et méthodologiques.

Un autre point faible est la faible prise en compte des tensions que les questions soulevées par la réglementation des données de recherche – que ce soit l’open data, le droit de la propriété intellectuelle, ou le RGPD – génèrent. Une confusion semble également entretenue sur la notion de « responsable du traitement », que le guide présente comme étant le directeur d’unité. Cela entretient d’une part la confusion entre la notion de responsable du traitement dans le RGPD et celle – qui est l’acception retenue dans ce guide – de personne désignée comme responsable au sein d’un responsable du traitement, de la mise en œuvre d’un traitement. D’autre part, cela renforce le pouvoir hiérarchique du directeur d’unité et peut générer des craintes quant à la pérennité du principe d’indépendance des chercheurs et enseignants-chercheurs. Cela peut être de nature à affaiblir l’acceptation des règles de protection des données par les collègues. Enfin, le guide opère une distinction sans fondement entre « chercheur » et « doctorant », mais n’évoque nulle part la question des étudiants, qu’ils soient – comme trop souvent – des terrains facilement disponibles pour des enseignants-chercheurs vis-à-vis de qui ils peuvent être un public vulnérable car soumis à leur autorité, ou bien qu’ils mènent eux-même un travail de recherche.

Malgré ses limites, brièvement évoquées ci-dessus, et qui démontrent à la fois la nécessité de discussions qui sortent d’une logique top-down au sein de la profession, et la nécessité de justement mener des études de terrain sérieuses sur le sujet, ce document reste une entrée incontournable pour comprendre la façon dont le RGPD s’applique à nos recherches en SHS, et apporte des clarifications précieuses sur des sujets importants comme le plan de gestion des données ou la gouvernance de la protection des données dans la recherche publique en SHS.

Avis du G29 sur les techniques d’anonymisation

Cet avis, assez détaillé, publié par le G29 [1]Le groupe de travail de l’Article 29 regroupait, jusqu’en mai 2018, les autorités nationales de protection des données de l’UE. Depuis l’entrée en vigueur du RGPD, le … Continue reading. C’est un guide utile pour comprendre les différentes techniques statistiques d’anonymisation de jeux de données.

Lignes directrices du Comité européen de protection des données (ex-G29) sur la notion de consentement dans le RGPD

Cet avis – qui à l’heure actuelle n’est disponible qu’en anglais, ce qui constitue une rupture d’égalité manifeste entre citoyens européens – contient une section importante dédiée aux traitements de données personnelles à des fins de recherche scientifique (pages 30 à 32).

Lignes directrices du G29 sur la notion de consentement dans le RGPD (ancienne version)

Cet avis comprend une section (la section 7.2) sur le cadre juridique applicable aux traitements de données personnelles à des fins de recherche scientifique en matière de consentement.

Article de Mark Hansen d’explication sur la technique dite de « vie privée différentielle »

L’article vulgarise le fonctionnement du mécanisme de la vie privée différentielle, qui est une technique statistique dont il est régulièrement question, et qui permet de gagner en anonymat, et d’évaluer le degré de robustesse de l’anonymat d’un jeu de données.

Guillaume LATZKO-TOTH et Madeleine PASTINELLI, « Par-delà la dichotomie public/privé : la mise en visibilité des pratiques numériques et ses enjeux éthiques », tic&société [En ligne], Vol. 7, N° 2 | 2ème semestre 2013, mis en ligne le 01 juin 2014, consulté le 21 février 2019. URL : http://journals.openedition.org/ticetsociete/1591

Cet article de Guillaume LATZKO-TOTH et Madeleine PASTINELLI s’interroge sur l’éthique de l’accès de chercheurs-euses en SHS à des documents publiés en ligne, dont le statut public ou privé devient difficile à déterminer étant donné les usages des internautes. L’article aborde notamment l’importance de distinguer le consentement donné à participer à une étude, d’une part, et celui à être l’objet d’un discours savant, d’autre part. Il développe aussi une réflexion sur la façon dont la publicité scientifique de pratiques sociales peut en transformer le sens.

 

Site web du réseau SupDPO (ex-SupCIL)

 

Le réseau SupDPO regroupe les délégués à la protection des données de l’enseignement supérieur et de la recherche. L’essentiel du site web est réservé aux membres du réseau, mais quelques ressources sont également regroupées sur une page ouverte au public. Un autre site, dédié au public, contient de nombreuses ressources accessibles, comme des rapports annuels (ici pour l’année 2018), les résultats d’enquêtes menées auprès des DPO universitaires (ici pour les résultats de l’enquête de 2017).

 

Les quinze conseils de SupDPO aux chercheurs en matière de protection des données (merci à @Geekiviste sur Twitter pour le signalement)

 

Publié en 2020, ce court guide a le mérite de faire la synthèse des étapes à ne pas oublier : déclarer ses traitements au DPO, penser aux plans de gestion des données lors de la soumission de projets européens, penser à l’anonymisation … tout en gardant en tête que c’est compliqué d’avoir des données vraiment anonymes.

Ce guide est généraliste. Il s’adresse à l’ensemble des chercheurs, et ne rentre pas dans beaucoup de détails (ex : études d’impact, gestion des droits des personnes concernées, conventions de co-responsabilité … ) mais cela ne l’empêche pas d’être un document utile de sensibilisation, que chaque université ou chaque discipline pourra (par le biais des sociétés savantes, des sections du CNU ou autres) décliner utilement en des conseils plus spécifiques et plus proches de leur terrain d’application.

Guide et fiches pratiques de l’Université Paris X Nanterre et de l’Université Paris VIII sur le RGPD dans la recherche en SHS

Ce guide, réalisé par Catherine Delplanque, Nawale Lamrini, Fabrice Leclère, Lionel Maurel, Isabelle Autran, Nabil Belkouch, Jose-Manuel Coelho, Claire Hanen, et
Julie Nordin, vise à vulgariser le RGPD appliqué aux projets de recherche en SHS. Sa force réside dans son format pédagogique, dans son explication du régime juridique aux consortiums de recherche, et dans les liens à avoir en tête avec le droit de la propriété intellectuelle, mais il n’entre pas dans les détails du cadre dérogatoire applicable dans certains cas à la recherche scientifique (art. 89 du RGPD) ni dans le détail de quand et comment réaliser une étude d’impact au sens de l’article 35 du RGPD.

Laurens, S., Neyrat, F., Boe, C. (dirs.), 2010, Enquêter, de quel droit: menaces sur l’enquête en sciences sociales, Bellecombe-en-Bauges, Éditions du Croquant, 320 p.

 

Cet ouvrage fait le point sur l’état des réflexions et débats en matière d’éthique et de relation au droit dans la recherche en sociologie. Il fait notamment part d’inquiétudes de bureaucratisation accrue de la recherche qui, dans un contexte de réduction des budgets alloués, risque de compliquer considérablement le bon déroulement de la recherche.

 

 

Cet article en open-access de l’European Data Protection Law Review étudie de façon prospective l’impact de la proposition initiale du RGPD de la Commission européenne (COM 2012-011), sur la recherche en sciences sociales au Royaume-Uni. S’il y a de fortes différences entre la proposition initiale et le texte final du RGPD, il s’agit toutefois d’un témoignage intéressant sur les réflexions en cours dans les débats ayant précédé l’adoption du RGPD, notamment autour des notions d’anonymisation et de pseudonymisation.

 

L’ancien site du Correspondant informatique et libertés (CIL) du CNRS

 

Le site du CIL du CNRS est désormais fermé. Un nouveau site a été ouvert, mais il n’est accessible qu’au personnel du CNRS.
Les ressources qui y étaient mises à en ligne ont toutefois été archivées et restent disponibles sur archive.org.

 

 

Cette page contient le podcast et les supports de présentation des intervenant-e-s à une journée d’étude sur la protection des données en milieu universitaire, dont l’après-midi a été consacrée aux données de la recherche. Une synthèse des travaux de la journée y est également disponible.

 

 

En novembre 2017, l’Institut des sciences sociales du politique a organisé une journée d’étude sur la protection des données à caractère personnel appliquée à la recherche en SHS. Les vidéos des interventions sont disponibles en ligne.

 

Rossi J., 2015, « Données de recherche et vie privée : l’anonymat règle-t-il le problème ? », dans Rasle B. (dir.), Correspondant informatique et libertés : bien plus qu’un métier, Paris, AFCDP, p. 319‑332.

 

Cet article date d’avant l’adoption du RGPD. Il porte sur l’état des discussions de 2015 relatif au régime dérogatoire applicable aux traitements de données à caractère personnel pour des finalités de recherche scientifique, et évoque les limites de l’anonymisation comme solution à la contradiction entre le besoin de la recherche d’obtenir des données à caractère personnel et de partager des jeux de données d’une part, et le droit fondamental à la protection des données à caractère personnel d’autre part. L’article a été publié comme chapitre de livre dans un ouvrage collectif de l’AFCDP. La version pré-print peut être téléchargé à cette adresse.

 

 

Cet article, plus récent que le précédent et co-écrit avec Jean-Édouard Bigot, fait le point sur l’interaction entre les pratiques de recherche en SHS, l’éthique de la recherche, et le droit de la protection des données à caractère personnel. Partant du constat d’une faible implication du champ de la recherche en SHS dans l’élaboration de l’article du RGPD applicable aux traitements de données à des fins de recherche, l’article montre que malgré la création de postes spécialisés de DPO en université, et malgré une prise de conscience de la part des chercheurs de la problématique de la protection des données, il n’existe, pour des raisons structurelles, que très peu de contact entre les deux univers. De fait, la réflexion éthique individuelle de chercheurs en SHS les amène à adopter des réflexes visant à protéger la vie privée de leurs enquêtés, mais aussi à prendre en compte un grand nombre d’autres aspects parfois contradictoires avec le RGPD. Par exemple : peut-on vraiment informer une personne des analyses qui pourront être tirées des données qu’elle nous fournit, lorsque celle-ci se trouve dans un état de faiblesse psychologique et que le sujet étudié porte justement sur des expériences traumatiques ? Enfin, si l’application du RGPD au monde de la recherche en SHS demeure aujourd’hui imparfaite, sa mise en œuvre peut avoir pour effet de reconfigurer des relations parfois conflictuelles, souvent de pouvoir, entre différents acteurs de la recherche.

 

Un avis juridique très complet sur la notion de « recherche scientifique » dans le droit de la protection des données, et les conditions d’application du régime dérogatoire prévu pour les traitements à des fins de recherche scientifique. Cet avis se termine par un certain nombre de recommandations.

 

Cet ouvrage collectif coordonné par Véronique Ginouvès et Isabelle Gras et publié fin 2018 (il est donc plutôt à jour) contient de nombreux chapitres sur l’utilisation et la diffusion de données (personnelles ou non) dans la recherche en SHS. Certains, comme celui d’Émilie Debaets, rappellent les bases en matière d’applicabilité du droit des données personnelles aux SHS. D’autres, comme celui de Myriam Fellous-Sigrist, portent sur des questions spécifiques, comme par exemple sur le recueil du consentement dans le cadre d’un projet d’histoire orale, ou encore sur les données des personnes décédées (chapitre de Jean-Charles Ize).
Notons que cet ouvrage ne parle pas que de protection des données personnelles, mais évoque aussi des questions liées au droit d’auteur (voir par exemple le chapitre rédigé par Philippe Mouron), la préservation du domaine public en droit de la propriété intellectuelle (voir le chapitre de Mélanie Dulong de Rosnay), ou encore la réutilisation des données de recherche (voir le chapitre écrit par Lionel Maurel).
La force de ce livre est son caractère interdisciplinaire. À côté de chapitres purement juridiques dont tout l’intérêt est de rappeler ce que le droit dit au sujet de l’utilisation de données en SHS, d’autres articles apportent des éléments de réflexion issus de la pratique de terrains voire de terrains sur l’application du droit à la recherche en SHS qui manquent souvent aux travaux sur ce sujet.
Thomas Soubiran a publié plusieurs présentations sur la protection des données dans la recherche en SHS qui sont cataloguées sur sa page de profil sous la rubrique « protection des données » (voir en bas). La plus récente, de décembre 2019, offre un aperçu panomarique très complet sur le sujet, et discute de plusieurs cas concrets, comme l’affaire EU Desinfo Lab.

1 Le groupe de travail de l’Article 29 regroupait, jusqu’en mai 2018, les autorités nationales de protection des données de l’UE. Depuis l’entrée en vigueur du RGPD, le Comité européen de protection des données a pris son relais

Laisser un commentaire