Dans un post publié sur son blog en juillet dernier et mis à jour fin août, le juriste Calimaq (Aka Lionel Maurel) revient sur l’entrée en vigueur du RGPD (Règlement Général de Protection des Données) et analyse dans quelle mesure son régime dérogatoire permet de favoriser les activités de recherche basées sur des informations à caractère personnel :
Cette articulation entre protection des données personnelles et activités de recherche est d’une grande importance, car sans ce régime dérogatoire, il serait très difficile pour les chercheurs de monter des projets impliquant des traitements de données personnelles.
La première partie du billet s’attache à définir ce que recouvre la notion de « recherche scientifique » dans le RGPD, puis Calimaq détaille point par point les différents principes du RGPD et si oui ou non il est prévu que les activités de recherche puissent y déroger.
C’est bien le cas des principes de limitation des finalités des traitements et de limitation de durée de conservation des données collectées, ainsi que du droit à l’oubli ou droit à l’effacement, qui peut-être contourné s’il compromet la recherche menée.
En revanche, les projets de recherche ne peuvent déroger au principe de minimisation qui oblige « à ne traiter que les données strictement nécessaires » pour atteindre la finalité déterminée, ni à l’obligation d’information des individus dont les données sont collectées (sauf lorsque cette collecte s’effectue auprès de tiers, se référer à la partie VI.2 pour plus de détails).
D’autres notions comme la pseudonymisation, encouragée par le RGPD, et le traitement des données sensibles dans le cadre de la recherche scientifique, sont étudiées dans ce billet.
Calimaq aborde enfin certaines spécificités de la loi Française telles que le choix de ne pas activer les dérogations concernant certains droits des personnes (accès, rectification, limitation, opposition) en matière de traitement des données à des fins scientifiques ainsi que la dérogation au titre de l’expression universitaire prévue dans le RGPD mais dont on ignore si elle s’applique en France.