Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD), qui constitue une réforme majeure de la législation sur la protection des données à caractère personnel, entrera en vigueur dans tous les États membres de l'UE. Toutefois, la nouvelle législation dépassera largement les frontières de l'UE et aura un impact non seulement sur les activités des entreprises traitant des données à caractère personnel, mais aussi sur les projets de recherche publics et privés impliquant des informations sur les personnes.

Quels sont les principaux changements apportés par le RGPD ?

Le RGPD ne révolutionne pas la législation actuelle sur la protection des données, mais agit plutôt comme une évolution naturelle de l'actuelle directive européenne sur la protection des données rédigée en 1995, alors que la collecte électronique de données, le suivi en ligne, le profilage et les violations de données n'étaient pas des sujets de discussion courants, et n'ont ainsi pas bénéficié de la couverture médiatique et sociale que nous connaissons aujourd'hui.

L'objectif du RGPD est d'uniformiser la protection des données entre tous les États membres de l'UE dans un environnement technologique en constante évolution. Cela signifie que les organisations auront des obligations supplémentaires en matière de transparence et de protection des données.

Elles auront également à respecter des tests plus rigoureux sur la légitimité du traitement des données et sur le consentement, l'extension du concept de données personnelles sensibles, le renforcement de concepts tels que la minimisation des données, le Privacy by default et by design, et des droits supplémentaires pour les individus (tels que le droit d'être oublié ou le droit à la portabilité des données).

Quel est l'impact de ces changements sur l'innovation et la recherche ?

Une part importante de l'innovation est axée sur la recherche et une part importante de la recherche est axée sur les données (dont les données personnelles). Il est donc légitime de se demander si les exigences du RGPD pourraient entraver les projets de recherche qui s'appuient sur des quantités importantes de données personnelles, ce qui pourrait à son tour étouffer l'innovation. Les chercheurs, par exemple, devront-ils recueillir le consentement explicite de toutes les personnes dont ils acquièrent les données ? Les données peuvent-elles être échangées librement entre chercheurs ? Qu'en est-il des personnes qui ne vivent pas à l'intérieur des frontières de l'UE ? Que se passe-t-il si des personnes contestent ou demandent l'effacement de leurs données ?

Heureusement, le RGPD ainsi que le projet de loi luxembourgeois qui mettra en œuvre les mesures nationales relatives au RGPD ont prévu un certain nombre d'exceptions et d'exemptions qui profitent aux projets de recherche, qu'ils soient publics ou privés. Ainsi, les entités qui traitent des données à caractère personnel à des fins de recherche, à condition qu'elles mettent en œuvre des garanties appropriées (y compris des mesures telles que la pseudonymisation) pour protéger les données à caractère personnel, pourront éviter des restrictions sur :

  • les traitements secondaires ;
  • les traitements de données personnelles sensibles ;
  • les transferts internationaux de données ;
  • l'obtention du consentement des personnes ;
  • la transmission et l'échange d'informations ;
  • les demandes d'effacement de données.

Que se passerait-il en cas d'abus ?

Bien que le RGPD ne limite pas le concept de « recherche » aux projets de recherche publics et donne une définition assez large de ce qui est considéré comme de la recherche scientifique, ces exceptions et exemptions devraient néanmoins être interprétées de manière stricte, et tout projet de recherche devrait inclure un examen attentif des obligations et des exemptions possibles qui s'appliqueront du point de vue de la protection de la vie privée.

Malheureusement, le cas récent de Cambridge Analytica a fourni un exemple très médiatisé de collecte, de traitement et, en fin de compte, d'utilisation abusive sous prétexte d'un projet de recherche. L'affaire a également démontré que l'entreprise qui s'appuie sur des exceptions en matière de recherche, mais aussi les tiers qui fournissent ou divulguent les données sans vérification approfondie peuvent être sérieusement sanctionnés.

Les régulateurs ne considéreront pas les abus avec bienveillance, et ce quelle que soit la situation. Il y aura donc toujours un risque de sanctions significatives, s'élevant jusqu'à 20 millions EUR ou 4 % du chiffre d'affaires global. 

Olivier Reisch, Partner, Intellectual Property & Technology, DLA Piper
Olivier Reisch, Partner, Intellectual Property & Technology, DLA Piper