Sauf exception prévue il est interdit de recueillir et d’utiliser des données qualifiées de sensibles par le RGPD, hors le consentement des personnes concernées ( article 9 du RGPD )
Il est possible de traiter des données sensibles dans le cadre d’une recherche scientifique ( hors santé ) sous réserve d’avoir préalablement saisi la CNIL pour avis ( article 44.6 de la loi Informatique et Libertés ).
Trois conditions cumulatives sont requises et impératives :
Le traitement doit être nécessaire à des fins de recherche scientifique publique. ( uniquement au sens du Code de la recherche )
Il doit porter sur des données sensibles
Il doit être rendu nécessaire pour des raisons d’intérêt public important.
Ce n’est que dans ces conditions que la CNIL peut être saisie pour avoir son avis.
Si la recherche est scientifique et publique, la CNIL préconise un faisceau de critères permettant d’apprécier si la recherche l’est réellement.
1 – Le traitement doit répondre à un critère organique, qui est cet Organisme ?
Une Université, un Organisme ou un centre de recherche ont vocation à opérer ce genre de traitement qui peut se révéler être une recherche scientifique.
Au sens du Code de la recherche, les Organismes suivants sont reconnus procéder à des recherches scientifiques :
Les établissements publics à caractère scientifique, culturel et professionnel.
Les autres établissements publics d’enseignement supérieur.
Les établissements publics de recherche.
Les établissements de santé dans les établissements privés à but non lucratif en contrat avec l’État tels que définis à l’article L 732-1 du Code de l’éducation, et dans les entreprises publiques.
2 – Également à un critère de fond, dans quel but ?
Le code de la recherche indique que la recherche publique doit avoir pour but, dans des critères non-cumulatifs :
Le développement et le progrès de la recherche dans tous les domaines de la connaissance.
La valorisation des résultats de la recherche au service de la société, qui s’appuie sur l’innovation et le transfert de technologie.
Le partage et la diffusion des connaissances scientifiques en donnant priorité aux formats libres d’accès.
Le développement d’une capacité d’expertise et d’appui aux associations et fondations, reconnues d’utilité publique, et aux politiques publiques menées pour répondre aux défis sociétaux, aux besoins sociaux, économiques et du développement durable.
La formation à la recherche et par la recherche.
L’organisation de l’accès libre aux données scientifiques.
IMPORTANT :
Les données issues d’infraction, prévues dans les dispositions l’article 10 du RGPD ne constituent pas des données sensibles, malgré leur encadrement spécifique.
Leur traitement dans le cadre d’un projet de recherche ne rend pas nécessaire de saisir préalablement la CNIL pour avis, dans la conformité de l’article 44.6 de la Loi Informatique et Libertés.