Données personnelles & sensibles

De manière générale, le traitement des données personnelles, pour être conforme à la loi, doit respecter un certain nombre de principes généraux, à savoir :

• La bonne foi : les données doivent être traitées loyalement. De ce principe découle notamment la transparence de la collecte et du traitement, ou encore le fait que le traitement doit répondre à un intérêt raisonnable.
• la proportionnalité : le traitement doit être adéquat, pertinent et non excessif. Seules les données objectivement nécessaires à une recherche pour atteindre le but poursuivi peuvent être traitées.
• la reconnaissabilité : la collecte et la finalité doivent être reconnaissables par la personne concernée.
• la finalité : les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte.
• l'exactitude : celui qui traite des données personnelles doit s'assurer qu'elles sont correctes et à jour.

(source : Sylvain Métille, Internet et droit - Protection de la personnalité et questions pratiques, Schulthess, 2017)

En Suisse, le traitement des données personnelles et sensibles est soumis à la Loi fédérale sur la Protection des Données (LPD) ainsi qu'aux lois cantonales. À l'UNIL, la Loi cantonale vaudoise sur la protection des données personnelles - LPrD fait foi.

L'Article 4, al. 1 de la LPrD définit une donnée personnelle comme « toute information qui se rapporte à une personne identifiée ou identifiable ».

L'Article 4, al. 2 de la LPrD définit une donnée sensible comme "toute donnée personnelle se rapportant :

- aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi qu'à une origine ethnique ;
- à la sphère intime de la personne, en particulier à son état psychique, mental ou physique ;
- aux mesures et aides individuelles découlant des législations sociales ;
- aux poursuites ou sanctions pénales et administratives."

Un profil de personnalité est quant à lui un "assemblage de données qui permet d'apprécier les caractéristiques essentielles de la personnalité d'une personne physique" (Art. 4, al. 3).

La collecte des données personnelles et sensibles n'est possible qu'avec le consentement libre et élcairé préalable de la personne concernée ou lorsque cette collecte figure explicitement dans une loi.

Ces données ne peuvent être traitées que dans le but qui est indiqué lors de leur collecte.

A noter que les données anonymes ne sont pas considérées comme des données personnelles puisqu'elles ne correspondent pas à une personne identifiée ou identifiable. Attention toutefois à ce que l'anonymisation soit complète et irreversible afin de pouvoir se prévaloir de cette possibilité de traitement.

Une donnée pseudonymisée (codée) n'est pas anonyme et doit donc être traitée comme une donnée personnelle et être accompagnée de mesures de sécurisation.

Le Règlement Général de Protection des Données (RGPD) réglemente la protection des données et de la vie privée pour tout individu résidant au sein de l'UE, ainsi que la communication de données personnelles en dehors de l'UE. Dans le domaine de la recherche, sont soumises à ce règlement toutes les institutions et entreprises actives au niveau international qui collectent et traitent des données personnelles de résidents de l'UE ou envoient des données de ressortissants suisses à l'étranger (UE).

A l'instar des lois suisses et cantonales sur les données personnelles, le RGPD ne s’applique pas au traitement des données à caractère personnel des personnes décédées ou des personnes morales.

Le RGPD liste dans son article 9 un ensemble de données dites « particulières » dont le traitement est par principe interdit :

Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

Néanmoins, l’article liste ensuite une série de 10 exceptions en vertu desquelles ces types de données peuvent faire l’objet de traitements, dont une concerne la recherche scientifique :

j) le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l’article 89, paragraphe 1, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

Le RGPD prévoit encore que les données personnelles ne peuvent être collectées que pour des « finalités déterminées, explicites et légitimes » qui doivent en principe être définies en amont du traitement et être portées à la connaissance des personnes concernées (articles 13 et 14). Néanmoins, le considérant 33 admet qu’il n’est pas toujours possible de déterminer à l’avance la finalité exacte d’un traitement effectué à des fins de recherche scientifique.

En matière de recherche, il existe donc une certaine marge de manœuvre pour formuler les finalités des traitements de données collectées d’une manière moins précise que ce qui est exigé par le RGPD. Il peut être admis par exemple que cette finalité s’élargisse ou se précise au fil du projet de recherche et en fonction de ses nécessités.

Le cadre légal européen en matière de gestion des données personnelles doit être pris en compte dans le cadre d'une recherche menée en collaboration avec des chercheur·e·s européen·ne·s ou portant sur des données personnelles de résident·e·s de l'UE.

A noter encore que le RGPD (art. 35) prévoit qu'avant toute activité de traitement « susceptible d’engendrer un risqué élevé pour les droits et libertés des personnes physiques », le responsable du traitement doit effectuer une analyse d’impact relative à la protection des données (AIPD). Pour plus d'information, se référer au site de la CNIL.

Le standard européen actuel incarné par le RGPD est plus "protecteur" et exigeant que celui exprimé dans la loi vaudoise sur la protection des données personnelles (LPrD). L'article 12 de la LPrD prévoit que : « Lorsque le traitement de données personnelles requiert le consentement de la personne concernée, cette dernière ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu'il s'agit de données sensibles et de profil de la personnalité, son consentement doit être au surplus explicite ».

L’article 4 du RGPD définit quant à lui le consentement de la personne concernée comme étant « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Le consentement est l'une des 6 bases légales prévues par le RGPD afin de permettre le traitement de données personnelles. Les autres bases légales sont : un contrat (le traitement est nécessaire à sa conclusion ou son exécution), une obligation légale (le traitement est nécessaire au respect d'une obligation légale), un intérêt vital (le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne), une mission publique (le traitement est nécessaire à l'exécution d'une mission d'intérêt public), un intérêt légitime (le traitement est nécessaire aux fins des intérêts légitimes du responsable du traitement).

Comme le rappel la CNIL en France dans son document Régime juridique applicable aux traitements poursuivant une finalité de recherche scientifique : "Le consentement des personnes constitue le premier fondement légal à envisager en application du principe général d’autodétermination informationnelle."

Le consentement ne constituera une base juridique appropriée que si la personne concernée dispose d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou de la possibilité de les refuser sans subir de préjudice. Un consentement valable ne peut être recueilli qu'avant que le responsable de traitement ne commence à traiter la donnée.

Un consentement valable en droit européen implique donc une manifestation de volonté :

• Libre : la personne ne doit pas se sentir contrainte de consentir et son consentement ne doit pas être conditionné à l’octroi d’un avantage.
• Spécifique : le consentement doit être recueilli finalité par finalité et non pas pour un ensemble de finalités. Cela induit que si le responsable de traitement souhaite traiter les données pour une autre finalité, il doit solliciter un consentement complémentaire.
• Eclairée : le consentement éclairé est étroitement lié aux principes de transparence et de loyauté du traitement. Il s'agit ici de connaître l'identité du responsable du traitement, les finalités de ce traitement ainsi que les bases juridiques, etc.
• Univoque : le consentement doit être donné par un acte positif clair. Le silence ou l’inactivité de la personne concernée, ainsi que le simple fait qu’elle continue à utiliser un service, ne peuvent être considérés comme une indication active de choix.

Par ailleurs, le responsable de traitement doit conserver la preuve du consentement en cas de contrôle.

A noter que le traitement des données sensibles doit en outre répondre au recueil d’un consentement explicite. Un consentement oral n'est donc pas suffisant pour traiter des données personnelles sensibles.
Source : www.village-justice.com

Guide pour les sciences sociales

Pour vous aider dans la compréhension des enjeux cruciaux du consentement, FORS, le Centre de compétences suisse en sciences sociales, a élaboré un guide intitulé : The informed consent as legal and ethical basis of research data production - january 2019.

Dans le cadre d'une recherche scientifique, la collecte de données personnelles doit être accompagnée de mesures techniques et organisationnelles à même d’assurer la sécurité et la confidentialité des données. Ces mesures relève du responsable de traitement.

Les garanties suivantes devraient donc être mises en place :

• le principe de pertinence et de minimisation des données traitées doit être respecté ;
• l’anonymisation des données ou la pseudonymisation ;
• une logique d’accès sécurisé et contrôlé doit être développée ;
• enfin, il est fort probable que, dans la plupart des cas, les traitements mis en oeuvre dans ce cadre requièrent la réalisation d’une analyse d’impact sur la protection des données (AIPD ou PIA) en application de l’article 35 du RGPD. L’AIPD doit être distinguée du plan de gestion des données.

Source : CNIL - Régime juridique applicable aux traitements poursuivant une finalité de recherche scientifique