Fil d'actualité du Service Informatique et libertés du CNRS

Correspondant Informatique et Libertés

Centre national de la recherche scientifique

Accueil du siteRèglement européenMettre en place la conformité au RGPDMon enquête respecte-t-elle la Loi Informatique et Liberté (LIL) ?

Mon enquête respecte-t-elle la Loi Informatique et Liberté (LIL) ?

Page publiée le 5 septembre 2017

Article de Marie Plessz paru dans le carnet de Solal (Sociologie de l’alimentation) collectif de recherche en sociologie de la consommation alimentaire, initié par des chercheurs de l’Inra.

Mon enquête respecte-t-elle la Loi Informatique et Liberté (LIL) ?


Article reproduit avec l’aimable autorisation de son auteur Marie Plessz

Nous nous demandons tous si nos enquêtes qualitatives ou quantitatives sont conformes à la loi informatique et liberté, souvent assimilée à « la CNIL ». La législation française est en outre en train de changer : un règlement européen sur ce sujet s’appliquera dans notre droit dès le 25 mai 2018.

J’ai assisté le 11 juillet 2017 à un webinar passionnant, organisé par MATE@SHS, dans lequel Émilie Masson, juriste auprès du CIL du CNRS, a décrit les grands aspects de cette loi pour les SHS, ainsi que les changements à venir en 2018. Je ne rentrerai pas dans les détails, dont beaucoup figurent sur la page web du CIL CNRS. Voici mon pense-bête que je partage avec vous.

La loi s’applique aux traitements de données à caractère personnel contenues ou appelées à figurer dans des fichiers

Traitement : toute opération sur des données à caractères personnel : corpus oraux, ensemble d’enquête, base de données statistiques, dès la collecte
Données à caractère personnel : permettant identification directe ou indirectement une pers physique
Parmi les données à caractères personnel attention aux données sensibles dont la collecte et le traitement sont interdits, sauf exceptions listées dans la loi.
Ces données sont par exemple les opinions politiques et religieuses, origines raciales et ethniques, santé et vie sexuelles.
Les exceptions sont par exemple : consentement libre, exprès et éclairé de l’enquêté ; données rendues publiques par la personne concernée, gestion des services de santé etc.
D’autres données sensibles ne souffrent pas d’exception et ne peuvent pas être collectées sans un avis de la CNIL : données génétiques ou biométriques, données sur les infractions pénales, numéro de sécurité sociale (NIR)… et données sur « les appréciations subjectives sur les difficultés sociales des personnes« .

Une première manière de se mettre en conformité avec la LIL est donc de NE PAS collecter de « données personnelles »

C’est l’esprit de la loi qui indique que l’on ne peut collecter que des informations pertinentes et nécessaires pour leur finalité. La recherche, en tant qu’ « exécution d’une mission de service public » est une bonne raison de collecter des données, mais leur niveau de détail ne doit pas excéder ce qui est nécessaire à la recherche en question.

Comment recueillir des informations pertinentes pour une enquête sociologique sans recueillir des données directement ou indirectement identifiantes ? L’avis du G29 sur les techniques d’anonymisation fait un bilan très complet.

Dans une enquête par questionnaire, il faut toujours éviter de collecter la date de naissance exacte qui est directement identifiante : l’année ou même une tranche d’âge suffit généralement pour l’analyse. De même la commune ou le code postal sont indirectement identifiants car certains renvoient à des populations très petites : est-ce que la région ou la taille d’agglomération suffit pour l’analyse ? Idem pour la profession détaillée quand on pourrait se contenter d’un groupe professionnel.

Mais on sait aujourd’hui que les possibilités d’identification indirecte sont immenses, il faut donc être très prudent.

Dans une enquête qualitative, on ne peut souvent pas éviter de collecter des données à caractère personnel ! Toutefois, Emilie Masson a souligné que l’on peut enregistrer, retranscrire l’enregistrement en l’anonymisant (noms, lieux, etc), puis détruire l’enregistrement, et être en conformité avec la loi.

Et si la collecte de données directement ou indirectement identifiantes est inévitable ?

Il faut alors se mettre en conformité avec la Loi informatique et liberté. Ce qui signifie :

Ø  connaître la loi et prendre les mesures nécessaires à son respect dès la conception de l’enquête, en particulier :

·  obligation d’informer les personnes (la liste des infos est très longue !)

·  sécurité et confidentialité des données  ;

·  durée de conservation limitée (la loi donne des précisions sur l’archivage et l’utilisation postérieures à des fins scientifiques, statistiques ou historiques) ;

·  la finalité du recueil doit être claire, annoncée aux personnes concernées, et si des traitements ultérieurs se font dans une autre finalité les personnes doivent être prévenues.

Ø  faire inscrire l’enquête au registre du Correspondant informatique et liberté (CIL) de l’établissement :

·  dans une UMR le CIL par défaut est celui de l’employeur du Directeur de l’unité de recherche

·  certains établissements n’ont pas de CIL  : l’important est de déclarer à un CIL.

Ø  Il n’y a pas de déclaration à faire à la CNIL sauf dans certains cas, notamment la collecte de données sensibles ou le transfert des données hors de l’union européenne.

Ce que changera le règlement européen en 2018

Le principal changement est qu’à présent, n’importe qui peut demander n’importe quand à la CNIL de vérifier si votre enquête est bien conforme à la loi, et vous devez être en mesure de fournir les éléments de réponse à tout moment.

Il y a d’autres changements liés par exemple au renforcement du droit des personnes.

Déclarer une enquête au CIL de son établissement n’est pas forcément très complexe, surtout avec un peu d’habitude. Il est en outre à noter que la déclaration se fait par finalité : par exemple si vous répétez la même enquête chaque année, vous faites une seule déclaration et vous êtes en paix.

 

Article source
http://solal.hypotheses.org/619