Le Comité européen de la protection des données (CEPD) a, lors de sa dernière session plénière, présenté des lignes directrices sur le traitement des données à des fins de recherche scientifique, actuellement en consultation publique jusqu’au 25 juin 2026. Il a également publié deux avis concernant la certification européenne Europrivacy, désormais reconnus en tant que label européen de protection des données[1].
Concernant les lignes directrices, l’objectif annoncé par le CEPD est d’apporter de la clarté ainsi que de la sécurité juridique aux chercheurs dans le cadre de leur activité de recherche scientifique. L’intelligence artificielle et le traitement de données à caractère personnel ont permis des avancées majeures dans le domaine de la recherche scientifique. Ces progrès nécessitent toutefois une garantie de la conformité au RGPD ainsi que la protection des droits fondamentaux des personnes concernées.
À ce titre, le CEPD souligne six critères indicatifs permettant de déterminer si un traitement est effectué à des fins de recherche scientifique au sens du RGPD. Les points d’attention sont les suivants :
- Une approche méthodique et systématique
- Le respect de normes éthiques
- La vérifiabilité et la transparence
- L’autonomie et l’indépendance
- Les objectifs de la recherche
- La capacité de contribuer aux connaissances scientifiques existantes ou d’appliquer celles-ci de manière innovante
Par ailleurs, le traitement ultérieur à des fins de recherche scientifique étant présumé compatible avec la finalité initiale de collecte des données personnelles, le test de compatibilité des finalités prévu par le RGPD ne sera donc, dans un tel cas, pas obligatoire pour les responsables du traitement.
Le CEPD clarifie également d’autres points en précisant l’étendue des droits des personnes concernéespar le traitement de leurs données à des fins scientifiques, en rappelant la nécessité d’évaluer et de documenter la répartition des responsabilités entre plusieurs entités participant à un traitement et en fournissant aux responsables du traitement des modalités d’évaluation des mesures techniques et organisationnelles appropriées.
Concernant les deux avis relatifs à la certification Europrivacy. Le premier approuve la mise à jour des critères de la certification, reconnue en tant que label européen de protection des données, au sens de l’article 42 paragraphe 5 du RGPD. Le second reconnait, sur le fondement des articles 42 et 46 du RGPD, les critères de certification Europrivacy comme pouvant être utilisés comme outil pour les transferts.
Ces avis visent à apporter des précisions importantes renforçant les mécanismes de certification du RGPD. Ils ont également vocation à faciliter le respect par les responsables du traitement et les sous-traitants, au sein de l’Union européenne, de leur obligation de démontrer qu’ils offrent des garanties appropriées pour les transferts de données personnelles vers des pays tiers ou des organisations internationales.
[1] https://www.cnil.fr/fr/cepd-lignes-directrices-pour-la-recherche-scientifique-et-certification
