Bruxelles, le 16 avril – Lors de sa dernière session plénière, le comité européen de la protection des données a adopté des lignes directrices sur le traitement des données à caractère personnel à des fins de recherche scientifique. En outre, le conseil d'administration a créé une équipe pour accélérer la finalisation des lignes directrices sur l'anonymisation. L’EDPB a également adopté deux avis sur les deux ensembles de critères de certification Europrivacy pour l’approbation en tant que labels européens de protection des données, dont l’un doit être utilisé comme outil pour les transferts.
De nombreux domaines de la recherche scientifique reposent sur le traitement des données à caractère personnel des personnes, ce qui a permis d’importantes avancées scientifiques au bénéfice de la société. L’essor des nouvelles technologies, telles que l’intelligence artificielle, contribue également au progrès scientifique en permettant aux chercheurs d’utiliser et d’analyser les données de manière innovante.
Le principal objectif des lignes directrices de l’EDPB sur la recherche scientifique est d’apporter plus de clarté aux chercheurs et de faciliter le respect du RGPD, tout en garantissant la protection des droits fondamentaux des personnes.
«La recherche scientifique peut stimuler le progrès sociétal et améliorer notre vie quotidienne.
Nos lignes directrices facilitent la recherche innovante en aidant les chercheurs à naviguer dans le RGPD.
L’EDPB est déterminé à soutenir la communauté scientifique et à libérer tout le potentiel de la recherche scientifique dans l’UE tout en respectant les droits en matière de protection des données.»
Anu Talus, président du comité européen de la protection des données
Dans ses lignes directrices, la chambre de recours apporte des précisions sur la notion de «recherche scientifique». Pour déterminer si le traitement a lieu à des fins de recherche scientifique au sens du RGPD, le comité fournit six facteurs indicatifs clés qui devraient être pris en compte, en plus de la nature, de la portée, du contexte et des finalités du traitement. Il s’agit des éléments suivants: 1) approche méthodique et systématique, 2) respect des normes éthiques, 3) vérifiabilité et transparence, 4) autonomie et indépendance, 5) objectifs de la recherche et 6) possibilité de contribuer aux connaissances scientifiques existantes ou d'appliquer les connaissances existantes de manière novatrice. Si les activités de recherche répondent à ces six facteurs, elles peuvent être présumées constituer de la recherche scientifique. Dans le cas contraire, le responsable du traitement devrait justifier et être en mesure de démontrer pourquoi les activités devraient être considérées comme de la recherche scientifique, au sens du RGPD.
Le traitement ultérieur à des fins de recherche scientifique est présumé compatible avec la finalité initiale de la collecte des données à caractère personnel des personnes physiques. Par conséquent, les responsables du traitement ne sont pas tenus de faire le test de compatibilité des finalités en vertu du RGPD pour déterminer si le nouveau traitement est compatible avec la finalité initiale de la collecte. Toutefois, les responsables du traitement doivent toujours veiller à ce que la base juridique du traitement initial soit également adaptée au traitement ultérieur de données à caractère personnel à des fins de recherche scientifique.
Les responsables du traitement peuvent se fonder sur un «consentement général» lorsque les objectifs de la recherche ne sont pas pleinement connus au moment de la collecte des données à caractère personnel. Dans ce cas, les chercheurs devraient respecter des normes éthiques pour la recherche scientifique et mettre en place des garanties supplémentaires pour compenser l'absence de spécification de l'objectif. Les responsables du traitement peuvent également demander aux personnes concernées de donner leur consentement à différents projets de recherche individuels séparément, dès que les objectifs de ces projets sont connus (consentement dynamique). Une combinaison de consentement large et dynamique est également possible.
En outre, l’EDPB clarifie les droits des personnes physiques lorsque leurs données à caractère personnel sont traitées à des fins scientifiques. Cela inclut les droits à l'effacement et à l'objet pour lesquels des limitations peuvent s'appliquer lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique. La chambre de recours fournit des exemples pour expliquer quand le droit à l’effacement peut être considéré comme susceptible de rendre impossible ou de compromettre gravement l’objectif de la recherche scientifique. L’EDPB explique également quand les responsables du traitement peuvent rejeter l’opposition d’une personne au traitement de ses données à caractère personnel à des fins de recherche scientifique. Cela peut être le cas lorsque le traitement est nécessaire à l'exécution d'une tâche effectuée pour des raisons d'intérêt public.
Le comité rappelle que lorsque plusieurs entités sont impliquées dans le traitement de données à caractère personnel à des fins de recherche scientifique, il est nécessaire d’évaluer et de documenter la manière dont les responsabilités sont réparties entre les entités. À cet égard, les lignes directrices fournissent des exemples utiles pour préciser dans quelles situations les entités peuvent être qualifiées de responsable du traitement, de responsable conjoint du traitement ou de sous-traitant.
Enfin, le comité explique comment les responsables du traitement peuvent évaluer les mesures techniques et organisationnelles appropriées, telles que l’anonymisation ou la pseudonymisation, lorsqu’ils traitent des données à caractère personnel à des fins de recherche scientifique. L’EDPB fournit des exemples d’autres garanties qui pourraient être mises en œuvre en fonction des risques posés par les activités de recherche menées. Il s'agit notamment d'une surveillance indépendante ou éthique, d'environnements de traitement sécurisés, de technologies renforçant la protection de la vie privée, de mesures de protection pour la publication des résultats de la recherche, d'arrangements de confidentialité et de conditions d'utilisation ultérieure.
Les lignes directrices feront l’objet d’une consultation publique jusqu’au 25 juin, ce qui donnera aux parties prenantes la possibilité de formuler des observations et de fournir un retour d’information.
Une «équipe sprint» pour finaliser les travaux sur l’anonymisation
Afin d'accélérer la finalisation des prochaines lignes directrices sur l'anonymisation, le conseil d'administration a créé une «équipe de sprint» dédiée qui achèvera les travaux d'ici l'été.
Avis Europrivacy
L’EDPB a adopté un avis approuvant l’ensemble actualisé de critères de certification Europrivacy en tant que label européen de protection des données *conformément à l’article 42, paragraphe 5, du RGPD. Le comité avait approuvé pour la première fois les critères de certification Europrivacy le 10 octobre 2022 en tant que premier label européen de protection des données dans l’avis 28/2022 du comité européen de la protection des données. Le champ d’application du système de certification Europrivacy a été étendu aux responsables du traitement et aux sous-traitants établis en dehors de l’Europe qui sont soumis à l’article 3, paragraphe 2, du RGPD, soit parce qu’ils fournissent des biens ou des services à des personnes physiques en Europe, soit parce qu’ils surveillent leur comportement.
En outre, pour la première fois, le comité a adopté un avis reconnaissant les critères de certification Europrivacy en tant que label européen de protection des données à utiliser comme outil de transfert conformément aux articles 42 et 46 du RGPD. Les importateurs de données en dehors de l'Europe qui ne sont pas soumis au RGPD peuvent désormais demander le système de certification Europrivacy pour les transferts de données qu'ils reçoivent. Cette certification facilitera le respect de l'obligation des responsables du traitement et des sous-traitants en Europe de démontrer qu'ils fournissent des garanties appropriées pour les transferts de données à caractère personnel vers des pays tiers ou des organisations internationales.
Ces approbations apportent un éclairage supplémentaire sur les mécanismes de certification du RGPD, confirmant leur rôle clé en tant qu'outil de conformité au RGPD.
Note aux rédacteurs
*Le label européen de protection des données est un mécanisme de certification GDPR reconnu dans toute l'Europe. Le sceau doit satisfaire à des critères spécifiques approuvés par l’EDPB et doit être accordé par un organisme de certification accrédité en vertu de l’article 43 du RGPD pour prouver la conformité aux normes du RGPD.
Le communiqué de presse publié ici a été automatiquement traduit de l’anglais. L’EDPB ne garantit pas l’exactitude de la traduction. Veuillez vous référer au texte officiel dans sa version anglaise en cas de doute.