Le numérique

10 Les technologies de l’information et de la communication ont connu une accélération conséquente au cours des vingt dernières années : le développement des réseaux sociaux et la frontière devenue extrêmement ténue entre les sphères privée et publique modifient profondément les comportements individuels ou collectifs. L’accélération de la diffusion et de la circulation de l’information ouvre de nouvelles opportunités scientifiques.

11 Les progrès de la connaissance prennent appui sur de nouveaux objets de recherche, de nouvelles modalités d’accès aux données et des modalités d’expérimentation différentes. La situation sanitaire récente a transformé les possibilités de réalisation des expériences, lesquelles s’opèrent à domicile et non plus uniquement au sein des laboratoires. Les protocoles sont plus aisés à élaborer du point de vue sanitaire, mais sont plus intrusifs en termes de collecte des données personnelles.

12 Le volume des informations disponibles et accessibles, les capacités des grands calculateurs et des infra-structures de recherche, ainsi que les potentialités des algorithmes ouvrent des champs nouveaux à l’échelle mondiale dans les domaines de l’intelligence artificielle, du quantique…

13 Les données et les bases de données construites et exploitées pour des finalités de recherche sont de plus en plus des informations économiquement stratégiques et, de fait, qui s’inscrivent dans une compétition scientifique internationale accrue. Les risques de captation, de piratage, de potentielles réutilisations à des fins mercantiles sont réels et imposent la mise en œuvre de politiques de protection des données, voire des personnes. Les établissements publics déploient à cette fin la politique de protection des systèmes d’information (PSSI) élaborée par l’État. Comme dans les autres organismes de recherche, cette PSSI s’applique au CNRS, mais en tenant compte des spécificités de ses missions, notamment le nomadisme, la compétition internationale et la protection du patrimoine scientifique et technique. Pour l’ensemble de ses activités, la stratégie numérique de l’État est donc prise en compte.

L’ouverture de la science

14 La communauté scientifique est également confrontée au changement de paradigme induit par l’ouverture de la science. Cette nouvelle orientation vise à renforcer l’efficacité de la recherche, favoriser la transparence et la reproductibilité de la recherche et à l’intégrer dans la compétition internationale.

15 Impulsées par Frédérique Vidal, ministre de l’Enseignement supérieur, de la Recherche et de l’Innovation [4], des initiatives conséquentes ont été prises pour accélérer l’évolution de la mise en place des plans d’action dédiés décidés au niveau du ministère précité, au CNRS (plans d’ouverture des données, science ouverte)…

16 Le double objectif d’ouverture et d’accessibilité est à intégrer dès le démarrage d’un projet et à introduire dans la préparation des plans de gestion de données et le cycle de vie des données notamment en vue de leur réutilisation.

Les évolutions réglementaires

17 Pour accompagner les évolutions dans l’organisation du travail et la plus grande circulation des biens et des services, la protection des biens et des personnes est renforcée. L’éthique, la déontologie et l’intégrité scientifique sont des valeurs fortes portées par les établissements en charge de la recherche et elles sont aujourd’hui inscrites dans les textes réglementaires.

Des catégories particulières de données

19 Selon l’article 9 du RGPD, des traitements portant sur des catégories particulières de données personnelles sont possibles, mais sous certaines conditions.

20 Il s’agit des « données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement de données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

21 Les données peuvent concerner le domaine de la santé : données relatives à la santé physique ou morale passée, présente ou future, qui donnent une indication sur l’état de santé de la personne. Leur traitement et les procédures dépendent de la finalité de la recherche ainsi que précisé dans le guide pour la recherche [5] (Institut des sciences humaines et sociales du CNRS).

22 D’autres données font l’objet de dispositions spécifiques :

• le numéro de sécurité sociale est une donnée identifiante, dont l’utilisation est très encadrée ; elle est circonscrite à quelques finalités définies par la CNIL ;
• les données d’infraction ou liées à des condamnations relèvent pour leur exploitation de dispositions spécifiques prévues par la loi Informatique et libertés modifiée.

Des données hautement personnelles

23 Elles peuvent présenter une forte sensibilité pour la personne ; il peut s’agir de données liées aux revenus des ménages, au patrimoine individuel, aux activités professionnelles… Des dispositifs spécifiques et protecteurs de la vie privée permettent à la communauté scientifique d’utiliser ces données à des fins de recherche. Par exemple, le Centre d’accès sécurisé aux données (CASD) permet d’accéder à distance à une infrastructure sécurisée assurant ainsi la confidentialité des données.

Des données concernant des personnes vulnérables

24 La notion de personne vulnérable n’est pas définie précisément par la réglementation. Elle peut concerner les mineurs, les personnes âgées ou des catégories particulières de population.

25 Pour leurs activités de recherche et en fonction de leur métier, les chercheurs, ingénieurs ou techniciens apportent une forte attention à la protection de leurs données : ce sont, par exemple, des personnes travaillant dans des animaleries, ayant accès à des équipements dangereux ou à risque, des spécialistes dans des domaines confidentiels, stratégiques ou liés à la défense des intérêts de la nation… Dans ces situations, une identification de la personne et des coordonnées de celle-ci deviennent des données sensibles à protéger (en ne mentionnant pas d’informations identifiantes dans les annuaires publics, notamment).

Les projets financés par l’Union européenne

36 La dimension protection des données est affirmée et exigée par l’UE pour tous les projets qu’elle accompagne. Ainsi, chaque acteur a l’obligation sur chacun de ses sujets de recherche d’apporter des informations détaillées sur l’utilisation et le devenir des données personnelles [8].

37 L’Union européenne a élaboré un guide sur l’éthique et la protection des données pour aider les chercheurs dans la définition de leurs données sensibles et à porter à celles-ci une grande attention selon leurs thématiques de recherche.

Les démarches de conformité guidées par le terrain de recherche

38 Quel que soit le sujet de recherche, l’objectif de protection des personnes s’appuie sur des principes généraux que sont les finalités des traitements, la proportionnalité des données, les droits des personnes, les durées de conservation et les mesures de sécurité adaptées.

39 Pour chaque projet et chaque collaboration de recherche, des questions similaires sont soulevées : quels acteurs, quels rôles, quelles responsabilités, quelles données, comment partager, quel hébergement, quelle organisation adopter ?

40 La réglementation et les dispositions à retenir sont déterminées par l’analyse du projet et par le profil des acteurs concernés (leur pays d’origine, leur structure d’appartenance…). Les critères de localisation des responsables des traitements des données et de ciblage de ces traitements permettent de déterminer si le RGPD s’applique ou non.