Le 13 décembre 2017, un projet de la loi relative à l’informatique, aux fichiers et aux libertés (loi n° 78-17 du 6 janvier 1978, ou Loi Informatiques et Libertés ou « LIL ») a été publié et est actuellement examiné par l’Assemblée Nationale..
Il vise à mettre en conformité le droit français avec le nouveau règlement général de protection des données (RGPD UE-2016/679) et la directive du Parlement européen et du Conseil sur le traitement des données à des fins pénales ou de prévention et de protection contre les menaces pour la sécurité publique (UE-2016-680).
L’objet de cet article est de présenter les impacts potentiels pour l’accès aux données pour la recherche scientifique. L’auteur ne prétend pas avoir des qualifications de juriste et laissera donc ses remarques à l’appréciation de juristes plus experts.
L’accès aux données pour la recherche scientifique
Dans son article 5.1 b), le RGPD inscrit dans ses principes que : « le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités); ». L’article 6 de la LIL relatif à l’informatique, aux fichiers et aux libertés n’a pas été modifié et c’est une très bonne chose.
L’archivage des données pour la recherche : à mieux faire connaitre
Principe général
Le principe général, déjà établi dans l’article 36 de la LIL, autorisant l’archivage des données, y compris celles comportant le NIR (Numéro d’Inscription au Répertoire ou numéro de sécurité social) au-delà de la période de conservation imposée par la CNIL est conservé dans un large mesure.
Ce principe est également présent dans le RGPD à l’article 5.1 e) : « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation); »
Le chiffrement du NIR permettra de conserver sur de longues années les données concernées, ouvrant ainsi des possibilités de réalisation d’appariements rétrospectifs sans précédent.
Le NIR Haché (article 22 et 27 modifiés par l’article 9)
La version actuelle de la LIL, en passe donc d’être modifié, précisait que l’utilisation du NIR Haché (numéro dérivé du NIR après chiffrement irréversible) pour les appariements dispensait d’un décret en conseil d’Etat et prescrivait un régime :
- de déclaration pour la statistique publique (sans les données sensibles de l’article 8.1 et 9)
- de demande d’autorisation pour les finalités de recherche
Ces dispositions sont en grande partie conservées dans le projet de loi en cours d’adoption : le régime pour la recherche s’aligne sur celui de la statistique publique ; améliorant ainsi la lisibilité des démarches à réaliser pour les chercheurs.
Ces dispositions sont rassemblées dans la nouvelle version de l’article 22 de la LIL modifiée, qui devient un article dédié au NIR (bien qu’il y soit fait référence dans d’autres articles, notamment l’article 55 pour les données de santé)
Les données sensibles pour la recherche (article 8 modifié par l’article 7)
L’accès aux données sensibles pour les chercheurs et la statistique publique est un enjeu important pour la réalisation d’enquêtes statistiques, d’études ou de travaux de recherche.
Pour la statistique publique, cette disposition est conservée dans le projet de loi et prévoit bien une dérogation après consultation du CNIS.
S’agissant de la recherche scientifique, une telle dérogation n’est pas prévue dans l’article 8 modifié de la LIL ; alors même qu’elle serait nécessaire. En son absence, des fichiers produits par la statistique publique ne pourront en effet pas être réutilisés à des fins de recherche alors que le RGPD dans son article 9.2 j) indique précisément que de tels traitements devraient être possibles. Il y a un point juridique à éclaircir pour établir si les dérogations du RGPD l’emportent sur une liste de dérogations nationale, lorsque celle-ci est établie.
Les données de justice pour la recherche
L’article 9 modifié de la LIL ne prévoit pas de dérogation pour la réalisation de traitement sur les données de justice à des fins de recherche scientifique. Pourtant, l’accès aux données sur les infractions est un enjeu scientifique majeur, et fait l’objet de demandes récurrentes d’accès par les chercheurs.
Il convient pourtant de préciser que les chercheurs demandant l’accès à des bases de données personnelles n’ont aucun intérêt à la révélation d’aspects de la vie privée de chacune des personnes concernées : c’est l’exploitation de l’ensemble de l’information contenue dans la base qui les intéresse. Cependant, on comprend aisément qu’il soit nécessaire que l’accès à la base s’accompagne de précautions destinées à éviter toute diffusion d’informations personnelles, que ce soit de manière accidentelle ou intentionnelle. Ces précautions sont d’autant plus nécessaires que les informations contenues dans les bases de données administratives sont très sensibles.
Il y a une néanmoins une distinction à faire entre les données brutes et donc nominatives d’un côté, et les données pour la production de statistique et la recherche de l’autre qui, elles, ne sont pas nominatives et peuvent être directement mises à disposition des chercheurs.
Si les données brutes peuvent dans certains cas demander une attention très particulière des services de justice avant leur mise à disposition pour la recherche. Les données pour la production statistique sont d’ores et déjà adaptées pour une mise à disposition sécurisée pour la recherche comme c’est le cas par exemple pour les données fiscales ou les données de santé.
Le RGPD est ouvert concernant cet accès, notamment dans son article 10 qui précise que le traitement est possible si le droit de l’Etat membre le prévoit.
Consentement exprès pour les données de santé pour la recherche
L’article 57 modifié indique que dans le domaine de la santé « Dans le cas où la recherche nécessite le recueil de prélèvements biologiques identifiants, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de données. ». Cela semble a priori réduire considérablement le potentiel de recherches pouvant être effectuées dans le domaine de la santé. Il n’y a pas la restriction décrite dans le II 2) de l’article 8 modifié « mais auxquels la personne concernée ne peut donner son consentement par suite d’une incapacité juridique ou d’une impossibilité matérielle » qui aurait pourtant été utile pour la conduite de certaines recherches.
Mesures transitoires pour les autorisations déjà reçues
L’article 22 du projet de loi laisse penser, sans être parfaitement clair sur ce point, qu’il y aurait une validité prolongée pour les autorisations classiques pour une durée de publication de 10 ans.
Article 22 du projet de loi : « Pour les traitements ayant fait l’objet de formalités antérieurement à l’entrée en vigueur de la présente loi, la liste mentionnée à l’article 31 de la loi n° 78-17 précitée, arrêtée à cette date, est mise à la disposition du public, dans un format ouvert et aisément réutilisable pour une durée de dix ans. »
