RGPD et recherche scientifique : Opinion du CEPD

23 janvier 2020

Le Contrôleur Européen de la Protection des Données (CEPD) se place comme l’autorité européenne indépendante de supervision dont l’objectif premier est le respect par les institutions européennes de leurs obligations en matière de protection des données.

Le CEPD a formulé le 8 janvier 2020 une Opinion sur les modalités et obligations de protection des données dans le cadre de la recherche scientifique au sein de l’Union Européenne, en accord avec le Règlement Général sur la Protection des Données (RGPD). Le RGPD structure la collecte, l’utilisation, le partage et le stockage du traitement des données personnelles autour de six principes :

1. Licéité, transparence et équité,

2. Limitation de la finalité,

3. Minimisation des données,

4. Exactitude,

5. Limitation de la conservation des données,

6. Intégrité et confidentialité.

Le CEPD y ajoute un septième principe : la prise de responsabilité, i.e. la capacité à démontrer la conformité aux principes précédemment cités.

Dans son opinion, le CEPD inclut les organisations qui s’éloignent de la sphère académique pour se rapprocher du secteur commercial. Certaines entreprises dont la mission est l’accumulation, le partage sur les réseaux sociaux ou le traitement pur de données entrent dans le champ d’observation de l’autorité.

Le CEPD structure son Opinion quant à un traitement des données conforme au RGPD dans le cadre de la recherche scientifique autour des cinq axes suivants.

3 critères pour la recherche scientifique :

Le CEPD conserve la définition de la « recherche scientifique » selon le Groupe de Travail de l’Article 29 telle qu’un « projet de recherche mis en place selon les standards méthodologiques et éthiques de son secteur ». Le CEPD va plus loin en sélectionnant les projets de recherche éligibles à un régime particulier de protection des données s’ils respectent les trois critères suivants :

1. Les données personnelles sont traitées,

2. Les standards méthodologiques et éthiques du secteur du projet sont appliqués, notamment concernant les notions de consentement libre et éclairé, la prise de responsabilité des meneurs de projet, et de supervision déontologique,

3. Le projet de recherche a pour objectif d’améliorer le niveau général de connaissance et le bien-être de la société, en opposition avec la satisfaction première d’intérêts privés.

Un cadre européen de gouvernance :

Le CEPD revient sur les notions de circulation et de partage de connaissance scientifique et technologique, fondations de l’UE. Ces notions deviennent d’autant plus d’actualité avec les possibilités modernes de transferts de données digitales et leur volume.

L’importance critique du consentement :

Le CEPD appuie l’importance d’obtenir un consentement libre et éclairé du sujet sur la collecte, le traitement et le partage de ses données. Le sujet doit être clairement informé de ses droits en termes d’accès, rectification et destruction de ses données, ainsi que de la finalité scientifique du projet de recherche et du traitement externe.

La finalité d’un projet de recherche peut toutefois demeurer inconnu ou imprécis dans sa phase initiale de collecte de données. Le RGPD fut adapté à cette spécificité de la recherche et inclut une forme de dérogation en autorisant un consentement à une aire de recherche, sans toutefois exonérer le meneur de projet de se conformer aux obligations relatives aux droits du sujet ou d’observer une transparence vis-à-vis des sujets.

Une pratique commune – notamment en recherche comportementale – consiste à garder secret l’objectif du projet pour atteindre un taux élevé de succès en limitant l’influence sur les sujets. Cela entre en conflit direct avec les obligations posés par le RGPD et requiert du législateur un éclaircissement.

Régime spécial de la recherche scientifique sous le RGPD

Quelle que soit la dérogation employée, elle ne peut exempter le chercheur de ses obligations de respects des droits du sujet, d’adoption de mesures techniques et organisationnelles pour la protection des données et la supervision par une autorité indépendante.

– Dérogations générales

Une certaine flexibilité est apportée par le RGPD avec son article 89 concernant le traitement de données par des activités de recherche, si celles-ci présentent des garanties appropriées pour les droits et libertés du sujet sous forme de mesures techniques et organisationnelles – notamment la pseudonymisation des données.

– Dérogations pour les catégories particulières de données à caractère personnel (« données sensibles »)

Les données sensibles représentent la plus grande valeur pour la recherche scientifique, notamment les données de santé, biométriques et génétiques. Leur traitement se voit généralement interdit par le RGPD, mais peut toutefois être possible par dérogation dans le cadre de la recherche scientifique (article 9.2) – sous respect des dispositions légales de l’UE ou des États Membres. Or ces dernières sont actuellement inexistantes, laissant les chercheurs dans un flou juridique.

– Licéité de la réutilisation de données

Dans le cadre de recherche scientifique, des données initialement collectées et traitées pour un autre objectif peuvent présenter une valeur. Afin de déterminer si cet objectif secondaire de traitement est légal, le CEPD souligne le manque de dispositif du RGPD – outre une mention dans l’introduction – et invite les chercheurs à effectuer un test de compatibilité tel que prévu à l’article 6.4.

Des obstacles à surmonter :

– L’intérêt public comme base légale :

Pour le choix de l’intérêt public comme base légale de traitement des données, le CEPD souligne la nécessité d’adoption par les États Membres de réglementation nationale, encore inexistante – et donc l’impossibilité actuelle pour des projets de recherche de reposer dessus.

De plus, le CEPD souligne une position dominante de certaines entités privées ayant collecté une vaste masse de données de valeur pour la recherche scientifique, sans pour autant la partager. Le CEPD invite donc les acteurs dominants, la communauté scientifique et les groupes de défense de droits civiques à entamer une discussion en vue d’un partage de données dans l’intérêt de la société.

– Un dialogue insuffisant entre Autorités de Supervision et Comités d’Éthique :

Le CEPD invite les branches locales du législateur à travailler avec les comités d’éthiques afin d’éclaircir les incompréhensions liées au RGPD et uniformiser les notions communes – notamment entre consentement pour le traitement des données et le consentement pour les essais cliniques.

– Un manque de chartes de conduites et de certifications

Afin de garantir le respect des droits des sujets et la protection des données au sein d’un secteur ou sur des échanges transfrontaliers, le RGPD avec ses articles 40 à 43 se repose particulièrement sur des outils externes tels que des chartes de conduite et des certifications délivrées par des organismes indépendants. Le CEPD relève le manque de chartes reconnues et d’organismes accrédités par le législateur européen.


En conclusion, le paysage européen en matière de protection des données présente encore des écueils pour les acteurs en biotech. Ces derniers bénéficieront donc particulièrement de mener un audit juridique interne sur la qualification des données personnelles collectées et/ou traitées incluant notamment un test de compatibilité. En anticipant des éclaircissements ou une réglementation complémentaire, maintenir un dialogue rapproché avec les autorités locales de supervision – en l’occurence la CNIL en France – apparait également comme précieux pour la bonne conduite d’un projet scientifique à vue médicale.