RGPD et recherche scientifique : le cadre juridique en Belgique
Publié le 01/04/2019 par Thierry Léonard, Bojana Salovic, Olivia Guerguinov - 0 vues
Télécharger le dossier
Dossier complet
file_download Télécharger le dossierLe Règlement européen 2016/679 du 27 avril 2016 sur la protection des données (GDPR) prévoit un régime d’exception pour les traitements de données à des fins de recherche scientifique, complété en Belgique, par des dispositions spécifiques de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
Il nous paraît utile au vu de la confusion parfois constatée en pratique de faire un rapide état des lieux couvrant l’ensemble de ces dispositions ainsi que, de manière plus générale, la question de la base de licéité applicable aux traitements en matière de recherche scientifique.
Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique, le GDPR s’applique. Les données anonymes ou rendues anonymes de telle manière que la personne concernée n’est pas ou plus identifiable, ne sont pas concernées par cette réglementation.
Par « fins de recherche scientifique », il convient notamment d’entendre les traitements de données effectués dans le cadre du développement et de la démonstration de technologies, de la recherche fondamentale, de la recherche appliquée, de la recherche financée par le secteur privé ou encore des études menées dans l’intérêt public dans le domaine de la santé publique (considérant 159 du GDPR).
Pour répondre aux spécificités d’un traitement de données à caractère personnel à ces fins, le GDPR prévoit un certain nombre d’assouplissements, complétés par les articles 186 à 208 de la loi du 30 juillet 2018. Notons au passage que ces dispositions sont également applicables aux traitements de données à caractère personnel effectués à des fins archivistiques dans l’intérêt public, à des fins de recherche historique ou encore à des fins statistiques (visées à l’article 89.2 et 89.3 du GDPR).
Avant d’analyser en profondeur ce régime dérogatoire spécifique, il convient de revenir sur la question de la base de licéité en matière de recherche scientifique, et plus particulièrement sur le consentement.
1 A titre preliminaire : L’utilisation initiale des données à des fins de recherche scientifique et la base de licéité
Le traitement initial à des fins de recherche scientifique doit trouver sa base de licéité dans l’une des six hypothèses visées par l’article 6 du GDPR (contrairement au traitement ultérieur réputé compatible –voyez ci-après le point 1).
Dans ces bases de licéités, la base de licéité dont on entend le plus souvent parler est le consentement.
La question se pose dès lors de savoir si le consentement au sens du GDPR est une base de licéité appropriée en matière de recherche scientifique ?
Un récent avis du CEPD apporte une réponse contrastée (sur celui-ci, voy. notre article ici). Si le consentement peut être la base de licéité d’un traitement qui a une finalité de recherche scientifique, ce n’est pas nécessairement la base la plus appropriée. En effet, le consentement tel que défini à l’article 4 du GDPR est soumis à de nombreuses conditions à remplir pour pouvoir se prévaloir d’un consentement valable, ce qui pose le cas échéant des problèmes insurmontables en matière de recherche scientifique.
Ainsi, le caractère libre et spécifique du consentement tout comme le principe de son retrait et ses conséquences pour les traitements antérieurs paraissent particulièrement mal adaptés aux exigences de la recherche. C’est pourquoi le CEPD encourage le choix d’autres base de licéité, principalement l’intérêt public et l’intérêt légitime du responsable (sur cet avis, voyez notre article ici).
2 La réutilisation des données à des fins de recherche scientifique est présumée compatible avec la finalité de traitement initiale
On se situe ici dans des hypothèses où la personne concernée par les données n’a pas été informée de la poursuite d’une finalité de recherche scientifique. Ce n’est qu’ultérieurement que le responsable décide de poursuivre une telle finalité. Si la finalité ultérieure n’est pas compatible avec la finalité initiale, le régime juridique issu du GDPR est l’interdiction de traitement sauf consentement de la personne ou dérogation légale expresse (cfr art. 6.4 du GDPR).
Par exception à ce régime général, la réutilisation des données à des fins de recherche scientifique est présumée compatible avec la finalité de traitement initiale à condition de prendre des garanties appropriées (art. 5. 1, b) in fine et art. 89.1. du GDPR). Le GDPR ne précise pas quelles sont concrètement les garanties à prendre. Le choix de celles-ci dépendra d’un certain nombre de facteurs propres au traitement : sensibilité des données et/ou du traitement, moyens techniques à disposition, risque potentiel existant en terme de sécurité, etc. Le texte de l’art. 89.1 cite comme exemples de garantie, le fait de crypter ou de coder les données (pseudonymisation) ou encore d’anonymiser les données (rendant alors l’identification des personnes impossible) à condition, bien sûr, que les finalités puissent être atteintes de cette manière.
Notons cependant que dans la mesure où la finalité de recherche scientifique du traitement (ou du traitement ultérieur) peut être atteinte sans identification des personnes concernées, le responsable du traitement doit aller au-delà de la pseudonymisation et doit s’assurer que les personnes concernées ne soient plus identifiables (at. 89.1 in fine du GDPR).
En d’autres mots, cela signifie que si des garanties suffisantes ont été prises, les données personnelles qui ont été collectées initialement pour d’autres finalités pourront être réutilisées à des fins de recherche scientifique, sans qu’aucune base juridique distincte de celle qui a permis la collecte de ces données ne soit requise. Il est cependant à noter que certaines règles spécifiques seront, le cas échéant, applicables en vertu de la loi du 30 juillet 2018 si le responsable entend déroger au régime normal de l’exercice des droits des personnes concernées (cfr infra titre 3).
3 Dérogation au principe d’interdiction de traiter les données SENSIBLES
Parce qu’elles sont par nature particulièrement sensibles, certaines catégories de données sont, a priori, interdites de traitement (art. 9.1 du GDPR) . Il s’agit des données qui concernent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données génétiques et biométriques, la santé et la vie sexuelle.
Le GDPR prévoit cependant que ces données peuvent être traitées, même sans le consentement de la personne, lorsque le traitement est nécessaire à des fins de recherche scientifique (art. 9.2. j) du GDPR). Pour bénéficier de cette exception, les conditions énoncées ci-dessus doivent être respectées (89.1 du GDPR) :
- Pas d’anonymisation possible ;
- Des garanties appropriées permettant de protéger les données personnelles doivent être prises.
L’article 9.2.j) du GDPR précise que le traitement doit se fonder sur le droit de l’Union ou le droit d’un Etat membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.
La précision laisse perplexe. Elle génère une insécurité juridique dans la mesure où elle semble impliquer que pour pouvoir bénéficier de cette exception, une législation spécifique – nationale ou européenne – serait nécessaire, pour in fine imposer des mesures de protection qui ne peuvent qu’être très proches et vraisemblablement identiques à celles déjà prévues par l’article 89.1.
C’est d’autant plus incohérent que l’article 89.1 exclut l’intervention supplémentaire d’un législateur national ou européen et impose directement les mesures de sauvegarde qui doivent être mises en œuvre par le responsable du traitement lui-même. D’ailleurs, la loi belge du 30 juillet 2018 n’a pas cru bon de prévoir une disposition exécutant l’article 9.2.j) du GDPR partant du principe que l’article 89.1 excluait une telle intervention.
En ce qui concerne plus particulièrement le traitement des données génétiques, biométriques ou de santé, le GDPR permet aux États membres de maintenir ou d’introduire des conditions supplémentaires, y compris des limitations (art. 9.4 du GDPR).
A cet égard, les responsables du traitement soumis au droit belge devront tenir compte des trois exigences supplémentaires suivantes (art. 9 de la loi du 30 juillet 2018) :
- les catégories de personnes ayant accès aux données à caractère personnel devront être désignées (soit par le responsable du traitement lui-même soit par son sous-traitant), avec une description précise de leur fonction par rapport au traitement des données visées ;
- une liste des catégories des personnes ainsi désignées devra être tenue à la disposition de l’autorité de contrôle compétente (soit par le responsable du traitement lui-même soit par son sous-traitant) ;
- le responsable devra veiller à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.
4 Les droits des personnes concernées (accès, rectification, limitation et opposition) peuvent être limités s’ils risquent de rendre impossible ou d’entraver sérieusement la réalisation des finalités de recherche : examen du régime juridique belge
Pour soutenir et accompagner la libre circulation des échanges de données dans le secteur de la recherche scientifique, les États membres peuvent prévoir des dérogations aux droits suivants : accès, rectification, limitation et opposition (art. 89. 2 du GDPR).
La Belgique a mis en place ce régime dérogatoire au titre 4 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
Ce régime dérogatoire qui consiste en la limitation des droits des personnes ne s’applique que si (1) les droits précités risquent de rendre impossible ou d’entraver sérieusement la réalisation des finalités de recherche et que (2) de telles dérogations sont nécessaires pour atteindre ces finalités.
En cas de poursuites d’autres finalités, ce régime dérogatoire ne s’applique qu’à la finalité de recherche scientifique (art. 89. 4. du GDPR).
On observera dans ce régime, de grandes similitudes avec l’ancien régime (désormais abrogé) de l’Arrêté Royal du 13 février 2001. Pour mémoire, celui-ci fixait les conditions à respecter en vue de pouvoir réutiliser des données collectées au départ pour d’autres raisons à des fins de recherche scientifique. Le nouveau régime dérogatoire et les conditions qui l’accompagnent n’ont ici pourtant plus pour but de permettre une réutilisation ultérieure de données (cela est réglé entièrement par le GDPR – voy. supra) mais bien de permettre des dérogations aux seuls droits des personnes concernées.
4.1 La mise en place de garanties appropriées
La mise en place des garanties suivantes conditionne la limitation des droits des personnes concernées :
- La désignation d’un DPO par le responsable du traitement lorsque le traitement est susceptible d’engendrer un risque élevé tel que visé par l’art. 35 du GDPR (art. 190 de la loi belge précitée) ;
- La tenue d’un registre des activités de traitement. Le responsable du traitement doit avant la collecte inclure dans le registre des activités de traitement les mentions suivantes : la justification de l’utilisation des données pseudonymisées ou non ; les motifs pour lesquels l’exercice des droits risque de rendre impossible ou entraver la réalisation de la finalité et ; le cas échéant, l’analyse d’impact si des données sensibles sont traitées et qu’elles ne sont pas anonymisées ni pseudonymisées) (art. 191 de la loi belge précitée) ;
- En outre, lorsque les données sont collectées directement auprès des personnes concernées, une information spécifique doit leur être donnée : le responsable du traitement doit en effet spécifiquement informer la personne concernée du fait que les données seront anonymisées ou pseudonymisées après leur collecte et des motifs selon lesquels l’exercice de ses droits risque de rendre impossible ou d’entraver sérieusement la réalisation des finalités de recherche, sans préjudice des autres informations obligatoires conformément à l’article 13 du GDPR (art. 193 de la loi belge précitée).
4.2 Trois hypothèses distinctes
Rappelons que l’article 89.2 du GDPR n’autorise les dérogations aux droits que dans la mesure où les droits de la personne concernée risqueraient de « rendre impossible ou d’entraver sérieusement la réalisation des finalités de recherche scientifique ».
Limiter et déroger aux droits des personnes concernées peut s’avérer utile dans les cas où les finalités de recherche scientifique constituent de traitements ultérieurs. Particulièrement, lorsque le responsable du traitement ultérieur n’a pas collecté lui-même les données et qu’il n’a donc aucun lien/contact avec les personnes concernées.
En cas de traitement ultérieur, le responsable du traitement doit examiner les moyens à sa disposition pour atteindre les finalités de son traitement de manière à n’utiliser les données personnelles que lorsqu’elles sont strictement nécessaires. Le responsable doit en effet raisonner en cascade : soit, le responsable peut travailler avec des données anonymes. Soit cela n’est pas possible, et il doit alors travailler avec des données pseudonymisées. Si cela n’est pas possible, le responsable du traitement travaillera sur des données non-pseudonymisées (article 197 de la loi belge).
La loi belge distingue trois hypothèses de traitement ultérieur et associe à chacune d’elles, l’accomplissement de conditions particulières:
- Lorsque le responsable du traitement réutilise des données qu’il a lui-même collectées (hypothèse n°1) ;
- Lorsque le responsable du traitement réutilise des données qui ont été collectées par un autre responsable (hypothèse n°2) ;
- Lorsque le responsable du traitement réutilise des données qui ont été collectées par plusieurs autres responsables (hypothèse n°3).
4.2.1 Hypothèse n°1 : le responsable du traitement souhaite réutiliser des données qu’il a lui-même collectées
L’hypothèse visée est celle où le responsable du traitement initial est le même que le responsable du traitement ultérieur. Peu importe qu’il confie le traitement à un sous-traitant ou l’effectue lui-même.
Dans ce cas, les données doivent être codées/pseudonymisées avant tout traitement ultérieur (art. 199 de la loi belge précitée).
L’ancien régime de l’arrêté royal du 13 février 2001 prévoyait que les données pouvaient être codées soit par le responsable du traitement, soit par un sous-traitant, soit par une organisation intermédiaire, agissant alors comme sous-traitant (art. 8, §2 AR. 13/02/2001). La nouvelle loi belge ne fait plus référence à la notion de sous-traitant ou d’organisation intermédiaire.
4.2.2 Hypothèse n°2 : le responsable du traitement souhaite réutiliser des données qui ont été collectées par un autre responsable
L’hypothèse visée est celle où le responsable du traitement initial n’est pas le même que le responsable du traitement ultérieur : le responsable du traitement de donnés initial communique donc ses données à un tiers en vue d’un traitement ultérieur.
Dans ce cas :
- Les données doivent être codées/pseudonymisées par le responsable du traitement initial avant d’être communiquées (art. 201 de la loi belge précitée). Le responsable du traitement ultérieur ne peut avoir accès aux clés de la pseudonymisation ;
- Une convention doit être conclue entre le responsable du traitement initial et le responsable du traitement ultérieur sauf si (1) il s’agit d’un traitement public ou que (2) le responsable du traitement est mandaté par le droit qui interdit la réutilisation des données collectées à d’autres fins (art. 194 à 196 de la loi belge précitée). Cette convention doit mentionner les coordonnées des deux responsables ainsi que les motifs justifiant les dérogations à l’exercice des droits (art. 195 de la loi belge précitée). Elle doit également être annexée au registre des activités de traitement (art. 196 de la loi belge précitée).
- En cas d’exemption de la conclusion d’une convention, le respon sable du traitement ultérieur informe le responsable du traitement initial de la collecte de données. Cette information doit également être annexée au registre des activités de traitements (article 196 de la loi belge).
4.2.3 Hypothèse n°3 : le responsable du traitement souhaite réutiliser des données qui ont été collectées par plusieurs autres responsables
Lorsque les données qui seront traitées ultérieurement sont collectées par plusieurs responsables du traitement qui communiquent au(x) même(s) tiers ces données en vue du traitement ultérieur à des fins de recherche, les données doivent être codées préalablement à leur communication au responsable du traitement ultérieur (art. 202, §1 de la loi belge précitée).
Les données sont chiffrées par l’un des responsables du traitement initial ou par un tiers de confiance. Les responsables des traitements initiaux ont ainsi le choix de faire pseudonymiser ou non les données par un tiers de confiance. Le responsable du traitement initial qui a codé les données peut fournir une clé de pseudonymisation aux autres responsables des traitements initiaux.
Lorsqu’un des traitements initiaux est un traitement de données sensibles (ex : données de santé), c’est le responsable du traitement initial de données sensibles qui pseudonymise des données ou alors un tiers de confiance. Seuls ces derniers cette fois, ont accès aux clés de pseudonymisation (art. 202, §2, al. 2 de la loi belge précitée).
Lorsque plusieurs responsables du traitement initial traitent des données sensibles, l’un d’entre eux pseudonymise les données. Ils peuvent également recourir à un tiers de confiance pour pseudonymiser les données.
Il ne peut y avoir de conflit d’intérêt entre le tiers de confiance et le responsable ultérieur (art. 203 de la loi belge précitée).
Si un DPO a été désigné, celui-ci doit conseiller sur l’utilisation des clés de pseudonymisation (art. 204 de la loi belge précitée).
4.3 Le responsable du traitement ultérieur peut-il « dépseudonymiser » les données ?
Contrairement au régime de l’arrêté royal de 2001, les données peuvent être « dépseudonymisées » par le responsable du traitement ultérieur sous le contrôle du délégué à la protection des données (art. 200 de la loi belge précitée).
4.4 La publication des données (ou diffusion des données) (pas d’identification des tiers)
En principe, le responsable du traitement ne peut pas diffuser des données non-pseudonymisées sauf si (1) la personne a consenti (2) les données ont été rendues publiques par la personne concernée (3) les données ont une relation étroite avec le caractère public ou historique de la personne (4) les données ont une relation étroite avec le caractère public ou historique de faits dans lesquelles la personne a été impliquée (art. 205 de la loi belge précitée).
A l’inverse, la diffusion de données pseudonymisées est autorisée sauf lorsqu’il s’agit de données dites « sensibles » (art. 206 de la loi belge précitée).
4.5 La communication des données à des tiers (tiers identifiés)
Lorsque le responsable du traitement communique les données à des tiers identifiés à des fins de recherche scientifique, il doit veiller à ce que les données communiquées non-pseudonymisées ne soient pas reproduites lorsque (1) il s’agit de données sensibles, (2) la convention entre le responsable du traitement initial et le responsable du traitement ultérieur l’interdit ou (3) la reproduction risque de nuire à la sécurité de la personne (art. 207 de la loi belge précitée).
Cela ne s’applique pas si (1) la personne a consenti, (2) les données ont été rendues publiques par la personne, (3) les données ont une relation étroite avec le caractère public ou historique de la personne ou (4) les données ont une relation étroite avec le caractère public ou historique de faits dans lesquelles la personne a été impliquée (art. 208 de la loi belge précitée).
4.6 Synthèse du régime dérogatoire belge concernant les droits des personnes concernées
Le chercheur qui commence sa recherche doit se poser la question suivante : « est-ce que je peux atteindre les buts de ma recherche en respectant les droits des personnes concernées ? »
En fonction de la réponse et comme rappelé dans les travaux préparatoires, trois possibilités s’offrent à lui (cf. Exposé des motifs, Doc., Ch., 2017-2018, n°3126/003, p.6):
- Soit, il n’a pas besoin de limiter les droits d’accès, de rectification, de limitation, d’opposition ou d’effacement des personnes concernées pour mener à bien sa recherche. Dans ce cas, il n’a pas besoin de dérogations spécifiques autres que celles déjà prévues dans le GDPR ;
- Soit, il suit un code de conduite approuvé conformément à l’art. 40 du GDPR et ne doit pas – à l’exception de la mise en place de garanties appropriées – respecter les autres conditions imposées par le titre 4 de la loi belge (art. 187) ;
- Soit, il estime devoir déroger aux droits des personnes concernées pour les nécessités de sa recherche et doit alors respecter conditions prévues au titre 4 de la loi belge sur la base de l’article 89.2 du RGPD.
5 Une durée de conservation plus longue peut se justifier
La conservation ultérieure des données à caractère personnel est en principe licite lorsqu’elle est nécessaire à des fins de recherche scientifique (cf. considérant 65 du GDPR).
Les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins de recherche scientifique et pour autant que (cf. art. 5.1.e) et 89.1 du GDPR):
- les finalités de recherche ne peuvent être atteintes par un traitement ne permettant pas ou plus l’identification des personnes concernées (pas d’anonymisation possible) ;
- des garanties appropriées permettant de protéger les données personnelles existent (les données seront par exemple cryptées ou codées (pseudonymisation) dans la mesure où ces finalités peuvent être atteintes de cette manière).
6 Exception à l’obligation d’information en cas de traitement par un responsable ultérieur
Un certain nombre d’informations doivent en principe être fournies lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (art.14 du GDPR). C’est le cas par exemple lorsque le responsable du traitement initial n’est pas le même que le responsable du traitement ultérieur. Ou, pour le dire autrement : lorsque que le responsable du traitement ultérieur a reçu les données d’un responsable initial.
Toutefois, en matière de recherche, le responsable du traitement ultérieur est dispensé de cette information lorsque la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés (art. 14.5.b du GDPR)
Cette dérogation est possible sous réserve des conditions et garanties visées à l’article 89.1 GDPR dans la mesure où l’obligation d’information est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement.
En pareils cas, le responsable du traitement doit prendre des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.
7 Exception au droit à l’effacement
Une demande d’effacement de la part d’une personne concernée peut être refusée au motif que les données sont nécessaires à des fins de recherche scientifique pour autant que (art. 17.3.d) du GDPR) :
- Le traitement soit effectué conformément à l’ 89.1 du GDPR et ;
- Dans la mesure où le droit à l’effacement est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement.
8 Conclusion
On entend souvent que la recherche scientifique – et notamment médicale – serait devenue impossible du fait de l’entrée en vigueur du GDPR. Nous ne pensons pas que cela soit vrai, particulièrement en Belgique où la loi du 30 juillet 2018 est venue compléter adéquatement le système dérogatoire du GDPR au bénéfice des traitements à finalité de recherche scientifique.
Contrairement à une idée également fort répandue, le consentement n’est pas la base de licéité qui s’impose en application du GDPR. Il ne s’impose pas non plus automatiquement en cas de traitements de données sensibles, telles les données de santé. Une autre exception est en effet consacrée par l’article 9.2.j) qui crée toutefois une certaine insécurité juridique de par la référence faite à loi nationale ou communautaire. Enfin, le retrait du consentement – souvent mis en avant comme empêchant le choix de cette base de licéité – nous paraît également pouvoir être neutralisé par le GDPR lui-même. Pour plus d’informations à ce sujet, nous vous renvoyons à notre article à ce sujet ici].
La loi belge quant à elle prévoit les garanties adéquates permettant de déroger à l’exercice des droits des personnes qui viendraient compromettre la finalité de recherche.
De quoi déjà relativiser – même si tout n’est pas réglé, notamment dans le contexte de recherches internationales – les propos alarmistes émanant souvent trop rapidement du monde de la recherche scientifique.
Plus d’infos
Voir également notre actu sur le RGPD et les essais cliniques.
Pour la facilité de la lecture, ce dossier est téléchargeable en pdf (voir ci-dessous).