RECHERCHE
Module RGPD
Introduction
Le projet « Module RGPD » vise à créer un outil libre et ouvert facilitant la compliance des protocoles de recherche scientifique avec le Règlement Général pour la Protection des Données.
Ce module de gestion des données est conçu pour permettre l’authentification des participants et des chercheurs, la clarification des règles de stockage et traitements des données personnelles, la gestion des consentements, la gestion des autorisations d’accès, le journal des opérations effectuées… Il est conçu en architecture mixte : décentralisation partielle combinant les méthodologies d’authentification classiques avec des technologies blockchain.
Le projet « module RGPD » concerne en premier lieu les recherches impliquant la personne humaine mais s’applique aussi aux recherches traditionnellement participatives s’appuyant sur les observations réalisées par des scientifiques amateurs (botanique, entomologie, etc.), car il permet l’authentification de la contribution tout en protégeant la vie privée des contributeurs.
Le projet « Module RGPD » est soutenu financièrement par l’InSHS et bénéficie d’un partenariat avec IBM sous la forme d’un atelier de design thinking.
Voir le guide pour la recherche de l’InsHS portant sur le sujet de l’application du RGPD.
RGPD et recherche scientifique
Le RGPD est un Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Il est entré en vigueur le 25 mai 2018.
Ce texte de loi établit le standard du traitement des données personnelles pour l’ensemble de l’Union Européenne. Il répond à des problématiques sociales (cf. le scandale de Facebook et Cambridge Analytica). Son application répond à des problématiques de la recherche scientifique, notamment en sciences humaines et sociales, et s’inscrit dans un mouvement de généralisation des bonnes pratiques.
En effet, pour les chercheurs qui ne peuvent pas s’appuyer sur une procédure standardisée de gestion des consentements et des données personnelles (par exemple celle de leur institution), il est difficile de rendre les protocoles expérimentaux conformes aux exigences règlementaires.
Les risques sont alors multiples :
Publications : les revues scientifiques s’accordent de pouvoir vérifier que la collecte des données est conforme à la législation. Si cette vérification est encore peu appliquée, on peut s’attendre à ce qu’elle se systématise dans les années à venir, du moins pour les revues les plus compétitives. Les équipes qui ne seront pas en mesure de prouver cette conformité seront pénalisées de ce fait.
Données : l’ouverture des jeux de données (sous forme brute ou agrégée) lors de la publication est requise par de nombreuses revues scientifiques. Or, cette ouverture doit respecter les critères de confidentialité des données collectées, ce qui peut ne pas être le cas suivant les outils choisis par les chercheurs. On notera le recouvrement de ces critères avec ceux mis en œuvre dans les plans de gestion de données.
Légalité : l’application du droit des participants à l’accès, à la correction et à l’effacement de leurs données peut se révéler difficile voire impossible suivant les outils utilisés.
En effet, pour les chercheurs qui ne peuvent pas s’appuyer sur une procédure standardisée de gestion des consentements et des données personnelles (par exemple celle de leur institution), il est difficile de rendre les protocoles expérimentaux conformes aux exigences règlementaires.
Brèche d’anonymat : la CNIL propose des recommandation précises concernant les données identifiantes.
On se réfèrera notamment à la méthodologie décrite dans l’avis 05/2014 sur les techniques d’anonymisation par le groupe de travail G29 de la CNIL. Or, les chercheurs peuvent avoir des difficultés à appliquer ces techniques, ce qui fait courir le risque de brèches de sécurité.
Le RGPD, en posant des contraintes fortes sur les données collectées, permet aux chercheurs de se protéger des brèches de sécurité décrites ci-dessus. En résumé, ces contraintes sont les suivantes :
– Le traitement des données doit être justifié juridiquement (De même que les comités d’éthique s’assurent que le traitement est justifié scientifiquement).
– Le traitement doit être sous la responsabilité d’un.e délégué.e à la protection des données (Data Protection Officer), qui doit être en capacité de rendre des comptes.
– Les personnes concernées doivent avoir été préalablement informées de la collecte et du traitement de leurs données personnelles.
– Le ou la responsable du traitement des données doit être en mesure de fournir la preuve du consentement.
– La collecte doit être limitée au strict nécessaire, suivant le principe de minimisation.
– La protection des données doit être intégrée avant le premier niveau de traitement (Privacy by design/by default).
– La durée de conservation des données doit être indiquée et justifiée.
– L’intégrité et la confidentialité des données doivent être garanties.
– La notification est obligatoire en cas de violation des données.
– Le système de gestion des données personnelles doit avoir été évalué (PIA : Privacy Impact Assesment), notamment pour prévenir le risque d’identification et de profilage.
– Le droit d’accès, d’opposition, de rectification et de suppression des données doit être garanti, notamment par la mise en œuvre d’outils de contrôle.
Le projet « Module RGPD » a pour objectif de créer un outil simple d’utilisation, permettant aux chercheurs de respecter les contraintes règlementaires ci-dessus.