Recherche (hors domaine de la santé) et protection des données
Les données personnelles sont importantes pour la recherche. Il est important de rappeler les règles applicables pour garantir un juste équilibre entre les intérêts de la recherche et les droits des personnes concernées. Les explications ci-après sont destinées à fournir, tant aux chercheurs qu'aux organes fédéraux qui seraient amenés à traiter des données personnelles dans le cadre d'un projet de recherche, les informations nécessaires afin de se conformer aux exigences de la protection des données.
Cette rubrique explicative s’adresse aux chercheurs privés ou œuvrant pour le compte d’un organe fédéral, de même qu’aux organes fédéraux qui font eux-mêmes de la recherche, en chargent des tiers ou communiquent des données personnelles à des chercheurs. Les traitements de données effectués par des organes publics cantonaux ou communaux, tels les universités (à l’exception des EPF) et les hôpitaux cantonaux et universitaires, régionaux et communaux, ressortent en principe de la compétence des autorités cantonales ou communales de protection des données et ne sont pas couverts par les explications ci-après.
La LPD ne s’applique pas non plus en cas de traitement de données anonymisées, si une ré-identification par un tiers est impossible (les données ont été anonymisées complètement et définitivement) ou ne paraît possible qu’au prix d’efforts tels qu’aucun intéressé ne s’y attèlera. Il faut toutefois garder à l’esprit que le progrès technologique permet aujourd’hui de traiter de grandes quantités de données et de permettre de nombreux recoupements entre elles, si bien que les données traitées ne sont au final pas anonymisées ou qu’insuffisamment. Sans compter qu’au vu de l’évolution de la technologie, ce qui passe aujourd'hui pour « anonyme » risque demain de pouvoir être attribué sans grandes difficultés à une personne déterminée.La loi fédérale sur la protection des données (LPD) contient deux règlementations spécifiques concernant le traitement de données personnelles à des fins de recherche, l'une pour le secteur privé (art. 31 al. 2 let. e LPD) et l'autre pour les organes fédéraux (art. 39 LPD). Le but du traitement de données personnelles ne se rapportant pas à des personnes, ce qui signifie que l'identité de la personne dont les données sont traitées ne joue aucun rôle pour le traitement et que des données anonymisées ou du moins pseudonymisées pourraient également être utilisées pour atteindre le même objectif. Ainsi, tant les personnes privées que les organes fédéraux bénéficient d’allègements lorsque les conditions énumérées dans ces deux dispositions sont remplies. A relever que ces dispositions ne visent pas les recherches qui sont axées sur des personnes (comme par ex. les recherches menées par les historiens et les généalogistes).
Par conséquent, les données doivent être rendues anonymes dès que la finalité du traitement le permet et les résultats de la recherche sont publiés sous une forme ne permettant pas d'identifier les personnes concernées. La communication de données personnelles à des tiers est effectuée sous une forme ne permettant pas d’identifier la personne concernée. Pour les organes fédéraux, la communication à des tiers par le destinataire ne peut se faire qu’avec le consentement de l’organe fédéral qui les lui a transmises.
Lorsque les organes fédéraux entendent eux-mêmes traiter des données personnelles dans le cadre de leur propre projet de recherche, en sus des conditions de l’art. 39 LPD, ils doivent pouvoir se fonder sur une base légale leur permettant de traiter des données personnelles à des fins de recherche (par exemple la loi fédérale sur l'encouragement de la recherche et de l'innovation, loi sur les EPF, etc.), en application du principe de la légalité (art. 34 LPD).
Exigences à respecter
Sous réserve de chaque cas d'espèce qui devra être examiné à la lumière du contexte de la recherche et de la spécificité des cas concrets, le chercheur, en tant que responsable de la protection des données dans le traitement de données personnelles, se conformera sous cet angle notamment aux points suivants dans le cadre de son projet de recherche:
Anonymisation
Il doit privilégier l'utilisation de données anonymisées dans les limites des possibilités du projet, c'est-à-dire excluant toute possibilité d'attribuer des données à une personne identifiée ou identifiable ou au prix d'efforts démesurés.Si le type ou le but de la recherche ne permettent pas de travailler avec des données anonymisées - parce qu'il est nécessaire par exemple de recontacter les personnes concernées à intervalles réguliers ¬- le chercheur se doit alors de coder ou de crypter les données (données pseudonymisées). Les données devront être anonymisées le plus rapidement possible et le résultat de la recherche doit être publié sous une forme ne permettant pas d’identifier les personnes concernées.
Devoir d’information et consentement
Dans les cas où la participation à un projet de recherche est facultative, la personne concernée doit consentir au traitement de ses données et dispose à tout le moins d'un droit d'opposition (pour la recherche médicale, cf. l'article sur la recherche humaine).
Afin de consentir valablement, la personne concernée devra recevoir au préalable toutes les informations objectives et complètes sur le traitement de données envisagé. L’information donnée doit être transparente, compréhensible et aisément accessible. Il peut également comporter certaines exceptions.
Analyse d’impact relatives à la protection des données personnelles
Lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, par ex. lorsque le traitement concerne un grand volume de données sensibles ou des croisements de données, comme cela peut se produire dans le cadre de projets de recherche médicaux, le responsable (université, centre de recherches, entreprise privée, etc.) doit procéder au préalable à une analyse d’impact relative à la protection des données personnelles au sens de l’art. 22 LPD. Des exceptions sont possibles.
Annonce des violations de la sécurité des données
Le responsable de traitement doit annoncer dans les meilleurs délais au PFPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée et en informer également la personne concernée si cela est nécessaire pour sa protection.
Registre des activités de traitement
L’obligation de tenir un registre des activités de traitement et de le déclarer au PFPDT s’applique tant aux chercheurs privés qu’aux organes fédéraux (art. 12 LPD). Il va sans dire que les principes et les autres dispositions de la LPD (notamment en matière de sécurité, de communication de données personnelles à l’étranger, des droits des personnes concernées, de la sous-traitance etc.) sont également applicables aux activités de recherche.
Lire aussi
Dernière modification 26.07.2023