La Commission nationale de l’informatique et des libertés,

Saisie par l’Institut national d’études démographiques d’une demande d’avis sur un projet de traitement de données à caractère personnel nécessaire à la réalisation d’une enquête dénommée « Enquête sur la vie affective des jeunes adultes » (ENVIE) ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment le 6° de son article 44 ;

Sur la proposition de M. Claude CASTELLUCCIA, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Emet l’avis suivant :

A titre liminaire, la Commission relève que le projet d’enquête de recherche publique de l’Institut national d’études démographiques (INED) dénommé « Enquête sur la vie affective des jeunes adultes » (ENVIE) a pour objectif " de saisir les nouveaux modes d’entrée dans la sexualité et la conjugalité des jeunes et d’actualiser l’état des connaissances, la dernière enquête sur la sexualité des jeunes en France datant de 1994 (Analyse des comportements sexuels des jeunes – ACSJ) ".

La Commission relève que le traitement projeté poursuit des finalités de recherche scientifique. Elle estime à cet égard que le traitement relève du champ d’application du règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD ») et prend acte de ce que l’INED entend se prévaloir de la base de licéité mentionnée au e) du 1 de l’article 6 du RGPD, à savoir de " l’exécution d’une mission d’intérêt public ".

Dans la mesure où il porte sur des données sensibles au sens de la réglementation, le traitement projeté doit faire l’objet d’un avis préalable de la Commission conformément aux dispositions du 6° de l’article 44 de la loi du 6 janvier 1978 modifiée, sans préjudice de l’obligation de formaliser le cas échéant la création du traitement par un acte réglementaire spécifique. La Commission rappelle qu’elle devra être tenue informée et saisie de toute modification substantielle affectant les caractéristiques du traitement et que l’analyse d’impact relative à la protection des données (AIPD) transmise devrait alors faire l’objet d’une mise à jour.

Sur le contexte général de réalisation de l’enquête (« ENVIE »)

Ce projet d’enquête vise les résidents en France métropolitaine âgés de 18 à 29 ans. Elle est scindée en plusieurs volets :

• la répétition générale de l’enquête, qui aura lieu en septembre-octobre 2022 avec un objectif de 200 questionnaires téléphoniques ;
• l’enquête réelle par questionnaire téléphonique, qui débutera en novembre 2022 et durera six mois. Elle visera des personnes dont le numéro de téléphone portable aura été généré aléatoirement par un prestataire. L’objectif est d’atteindre 10 000 questionnaires téléphoniques complets ;
• les post-enquêtes qualitatives, consistant en des entretiens semi-structurés menés auprès des personnes ayant répondu à l’enquête réelle et accepté d’être contactées par l’équipe conceptrice pour un entretien plus approfondi. L’objectif est celui d’une centaine d’entretiens individuels.

Le projet d’enquête a reçu l’avis d’opportunité du Conseil national de l’information statistique (CNIS) le 2 décembre 2021.

A titre liminaire, la Commission prend acte des précisions apportées par l’INED indiquant qu’un test, non concerné par la présente demande d’avis, a été réalisé en 2021 dans un objectif strictement méthodologique et ce, sur le fondement d’un recueil du consentement explicite (art. 9.2.a du RGPD).

En premier lieu, l’INED indique que chaque numéro composant la base de sondage fera l’objet de vingt appels avant abandon. Ce nombre a été retenu par l’INED au regard de travaux méthodologiques.

Sans remettre en cause ces éléments, la Commission recommande toutefois de réduire le nombre d’appels avant abandon dès lors que l’enquêté aura été informé au préalable de l’enquête par un SMS et appelle l’attention de l’INED sur le caractère potentiellement intrusif de ces appels, surtout si lesdits appels sont réalisés sur une courte période de temps et, éventuellement, aux heures dédiées au repos afin de maximiser les chances de réponse.

En deuxième lieu, la Commission relève que, pour la réalisation de l’enquête projetée, l’INED va produire plusieurs fichiers, à savoir :

• un « fichier de la base des numéros générés » qui correspond à une base de sondage généré par un prestataire puis transmis à l’INSEE pour comparaison avec les fichiers démographiques sur les logements et les individus (« Fidéli ») afin de supprimer les numéros attribués à des personnes hors de la cible. Sur ce point, la Commission prend acte de ce que la génération aléatoire des numéros ne pouvant être réalisée directement par l’INSEE, l’INED a dû recourir à un prestataire. La Commission s’interroge sur le biais éventuel induit par le recours à un filtrage de l’échantillon via le traitement « Fidéli », dès lors qu’il apparaît qu’une partie de la cible pourrait ne pas être détectée (cas des jeunes adultes non soumis à déclaration fiscale résidant chez leurs parents) ;
• un « fichier brut » qui contiendra les données recueillies au moyen du questionnaire en ligne ;
• un « fichier de production intermédiaire » qui sera issu du fichier brut. Il sera notamment apuré d’éventuelles données identifiantes fournies par les répondants dans les champs libres ;
• un " fichier d’étude ", qui sera utilisé par l’équipe conceptrice pour produire les statistiques et les premières publications ;
• un « fichier de production et de recherche » qui sera pseudonymisé et mis à disposition des chercheurs via le réseau Quetelet Progedo Diffusion ;
• un « fichier des contacts pour les entretiens qualitatifs » ;
• un « fichier des historiques des appels » qui sera fourni à l’INED par le prestataire ;
• un « fichier de gestion » qui sera fourni à l’INED par le prestataire pour analyser la déperdition de l’échantillon initial et mesurer les taux d’éligibilité, de participation et de refus ;
• des fichiers audio qui correspondent à l’enregistrement des entretiens qualitatifs post-enquête réalisés avec les personnes ayant accepté d’être recontactées ;
• des retranscriptions écrites et pseudonymisées desdits fichiers audio.

La Commission prend acte de ce que la base « Fidéli » ne sera pas exploitée directement mais servira uniquement à identifier et retirer de la cible les numéros appartenant à des personnes non éligibles à l’enquête en raison notamment de leur âge. Sur ce point, elle appelle l’attention de l’INED sur le fait que cette mise en relation ne permettra pas d’exclure que des personnes mineures figurent parmi les personnes appelées (une ligne téléphonique pouvant par exemple avoir été ouverte par un parent pour son enfant). A cet égard, elle relève que la première question du questionnaire porte sur l’âge de la personne qui décroche et permettra, dès le début du premier contact téléphonique, de s’assurer qu’aucune personne mineure ne figure parmi les participants interrogés.

En troisième lieu, la Commission prend acte des réponses de l’INED indiquant, d’une part, qu’aucun transfert de données hors de l’Union européenne ne sera réalisé et, d’autre part, qu’aucune consultation des données par des personnes situées en dehors de l’Union européenne ne sera possible.

Sur les finalités du traitement

L’enquête ENVIE a pour objectif principal d’explorer les nouveaux modes d’entrée dans la sexualité et la conjugalité des jeunes, en s’intéressant plus particulièrement à la diversité des relations intimes qui caractérisent la jeunesse.

La Commission relève que le projet d’enquête vise trois objectifs spécifiques :

• cartographier les jeunesses sexuelles par une approche relationnelle de la sexualité juvénile ;
• capter les inégalités de la vie intime : cohabitation, séparation et « précarité conjugale » ;
• comprendre les usages sexuels d’Internet.

Cette enquête se veut complémentaire de la prochaine enquête « Contexte des sexualités en France » (CSF-2022) en population générale (Anrs-Inserm). Elle permet de développer des thématiques spécifiques à la jeunesse (de prime abord, la diversité relationnelle) ou des pratiques émergentes particulièrement prévalentes chez les jeunes (dont les pratiques numériques à caractère sexuel et la diversification des identités de genre et de sexualité) que l’enquête CSF-2022 n’aborde qu’à la marge.

La Commission considère que les finalités poursuivies par le traitement projeté sont déterminées, explicites et légitimes, conformément aux dispositions du b) du 1) de l’article 5 du RGPD.

Sur les catégories de données traitées

En premier lieu, la Commission observe que la finalité poursuivie implique la collecte de nombreuses données à caractère personnel de natures très variées auprès des personnes enquêtées, dont certaines relèvent de la catégorie des données dites « sensibles » au sens de l’article 9 du RGPD, notamment celles relatives à la vie sexuelle ou à l’orientation sexuelle de l’enquêté ou aux convictions religieuses des membres du foyer parental.

Elle prend acte de ce que la collecte de données relatives aux parents a pour objectif de décrire le contexte dans lequel le répondant a grandi, l’âge des parents, leur pays de naissance, leur niveau d’éducation, leur situation professionnelle et leur religion étant des variables jouant un rôle important sur l’éducation des enfants.

Elle relève, par ailleurs, que le questionnaire contient plusieurs zones de texte libre (questions ouvertes sur la définition de l’orientation sexuelle ou encore l’état de santé général). La Commission prend acte des précisions apportées par l’INED selon lesquelles il n’est pas prévu de pré-renseigner ces champs libres mais qu’une formation sera dispensée aux enquêteurs sur la manière de les remplir.

La Commission rappelle que les données « sensibles » font l’objet d’une protection particulière et estime qu’il conviendrait également de pré-renseigner ces champs libres avec une information relative à la manière dont il convient de les renseigner afin de limiter au strict nécessaire la collecte des données, en particulier s’agissant de données sensibles relatives aux personnes tierces.

En deuxième lieu, la Commission prend acte des précisions apportées par l’INED indiquant que les données identifiantes transmises ne seront connues que de l’enquêteur et que l’équipe de recherche analysera des résultats pseudonymisés.

En troisième lieu, la Commission prend acte de ce que les entretiens post-enquête feront uniquement l’objet d’un enregistrement audio indépendamment des modalités de réalisation (visioconférence, face-à-face ou par téléphone). Dans l’éventualité où le répondant ne souhaiterait pas d’enregistrement, l’entretien ne sera pas réalisé. Si le répondant a accepté au préalable l’enregistrement mais demande ensuite que celui-ci ne soit pas utilisé, l’enregistrement sera immédiatement détruit.

Les autres catégories de données collectées n’appellent pas d’observations particulières de la part de la Commission.

Sur l’information et les droits des personnes

En premier lieu, s’agissant de l’information des personnes enquêtées, il ressort des éléments transmis qu’un SMS sera envoyé à l’ensemble des numéros échantillonnés. L’INED précise que le SMS de prise de contact envoyé aux enquêtés comportera les quatre informations suivantes : " 1) il informe la personne de l’existence de l’enquête ; 2) il informe la personne que l’enquête est réalisée par l’INED ; 3) il informe la personne qu’elle sera bientôt contactée par téléphone pour être invitée à participer à l’enquête ; et 4) il donne le lien URL permettant à la personne de consulter le site de l’enquête pour apprendre plus sur les finalités de l’étude, le cadre légal et ses droits ".

Si l’information peut se faire en plusieurs niveaux, la Commission recommande d’ajouter a minima les finalités du traitement, et les droits des personnes concernées parmi les indications portées à la connaissance de l’enquêté afin de fournir un premier niveau d’information. En outre, la Commission prend acte de ce que la bonne réception dudit SMS par l’enquêté sera une certitude dès lors que le prestataire de collecte fournira cette information. Aucun numéro ne sera appelé si le SMS est revenu en erreur (car non livré). Il sera demandé à la personne interrogée si elle a bien reçu le SMS lui permettant de prendre connaissance des mentions d’information, et donc des caractéristiques du traitement, seulement à la fin du questionnaire. Il est, par ailleurs, recommandé, à titre de bonne pratique, de s’assurer que l’adresse URL transmise par SMS permette d’identifier l’INED afin de renforcer la transparence envers l’enquêté et de prévenir l’ouverture de liens URL au contenu non clairement identifié.

L’article 13 du RGPD prévoit que lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, les mentions d’information. La Commission recommande dès lors que, dès le début de l’enquête, la bonne réception du SMS soit vérifiée par l’enquêteur et que l’ensemble des mentions d’information prévues par l’article 13 soient, le cas échéant, données verbalement à l’enquêté.

S’agissant de l’information des personnes tierces dont les données pourraient être collectées, l’INED entend mobiliser la dérogation prévue à l’article 14.5.b du RGPD dès lors que " l’obtention de leurs [les personnes tierces] identités et coordonnées et la fourniture des informations exigeraient des efforts disproportionnés ", ce qui n’appelle pas d’observations.

En second lieu, s’agissant des modalités d’exercice des autres droits, et particulièrement du droit d’accès, la Commission relève qu’elles reposent sur des informations publiques (numéro de téléphone et optionnellement " quelques variables d’identification "). Elle recommande, au regard de la sensibilité des données traitées, la plus grande précaution pour éviter toute usurpation d’identité visant à accéder aux données d’un tiers. Elle demande donc au responsable de traitement d’envisager des solutions combinant des secrets transmis au participant pendant sa démarche (par exemple, lors de l’information sur ses droits) avec des questions d’identification reposant sur les données collectées. Elle recommande de plus que les opérateurs chargés de la mise en œuvre de ces exercices de droits soient sensibilisés à la possibilité de tentatives d’abus.

Sur les destinataires des données

La Commission prend acte des précisions de l’INED indiquant que seules les données issues de l’enquête par questionnaire seront mises à la disposition de la communauté scientifique via le réseau Quetelet Progedo Diffusion. Elle rappelle que le responsable de traitement doit informer sur les destinataires du traitement, qui comprendront également la communauté scientifique via ce réseau. Les données des entretiens post-enquête ne feront pas l’objet d’une telle mise à disposition.

Sur les durées de conservation

La Commission observe que le « fichier de la base des numéros générés » sera détruit par le prestataire dès la fin de la collecte. Le « fichier brut », le « fichier de production intermédiaire » et le " fichier d’étude " seront conservés jusqu’à cinq ans après la fin de la collecte. Le « fichier de production et de recherche » sera mis à disposition sur le réseau Quetelet Progedo Diffusion et suivra les règles de conservation prévue dans ce cadre. Le « fichier des historiques des appels » et le « fichier de gestion » seront conservés jusqu’à deux ans après la collecte. Le « fichier des contacts pour les entretiens qualitatifs » sera conservé jusqu’à la réalisation des entretiens qualitatifs prévus pour les années 2023 et 2024, puis détruit. Les fichiers d’enregistrements audio seront conservés le temps de la vérification de leur retranscription puis seront supprimés deux ans après la collecte. Les retranscriptions seront conservées jusqu’à cinq ans après la date de la dernière valorisation scientifique.

La Commission rappelle à titre général que, conformément au e) du 1) de l’article 5 du RGPD, les données collectées dans le cadre d’un traitement doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Elle rappelle en outre que si « les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins de recherche scientifique ou à des fins statistiques », une telle conservation doit être accompagnée de la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir les droits et libertés des personnes ».

En premier lieu, la Commission prend acte de ce que les données ainsi conservées seront pseudonymisées, que leur stockage sera effectué sur des serveurs sécurisés et qu’une politique d’habilitation sera mise en place pour y accéder.

La Commission prend également acte de ce qu’après l’expiration des dates de conservation des fichiers concernés, une copie sera archivée sur un serveur sécurisé de l’INED et les fichiers d’origine seront versés aux Archives de France.

Elle s’interroge sur la nécessité de conserver une copie archivée des fichiers alors qu’ils seront conservés aux Archives de France et rappelle en tout état de cause que ces archives conservées par l’INED ne peuvent l’être de manière indéfinie si elles ne sont pas anonymisées, et qu’il est indispensable que le responsable de traitement leur fixe une durée de conservation. La Commission rappelle que l’anonymisation des données devrait être conforme à l’avis n° 05/2014 sur les techniques d’anonymisation adopté par le groupe de l’Article 29 (G29) le 10 avril 2014. Elle estime que l’INED ne peut se prévaloir des dispositions de la loi n° 78-17 du 6 janvier 1978 relatives aux traitements à des fins archivistiques. En effet, l’article 78 de cette loi ne prévoit des dérogations en matière archivistique que pour les traitements " mis en œuvre par les services publics d’archives à des fins archivistiques dans l’intérêt public conformément à l’article L. 211-2 du code du patrimoine ".

En deuxième lieu, le « fichier de production et de recherche », mis à disposition de la communauté scientifique via le réseau Quetelet Progedo Diffusion, est présenté comme étant le fichier " avec un plus faible risque de réidentification ". Cependant, le responsable de traitement ne le présente pas comme anonyme, ces mesures permettant uniquement de faire diminuer la possibilité de réidentification.

La Commission rappelle que la diffusion des données devra être réalisée conformément aux articles 78 de la loi du 6 janvier 1978 modifiée et 116 du décret n° 2019-536 précité. En particulier, il ressort de ces dispositions que les données doivent être préalablement anonymisées pour être diffusées et non pseudonymisées, sauf si l’intérêt des tiers à cette diffusion prévaut sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. Pour les résultats de la recherche, cette diffusion doit être absolument nécessaire à sa présentation. Les données diffusées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. En tout état de cause, dans le cas de diffusion de données non anonymes, la Commission rappelle qu’il est indispensable de fixer une durée de conservation, ces données ne pouvant rester disponibles pour une durée illimitée.

En troisième lieu, la Commission prend acte de ce que l’enquêteur a la possibilité d’enregistrer la demande de suppression de données qui serait formulée par un enquêté à la fin du questionnaire. La Commission appelle à une vigilance particulière sur la mise en œuvre d’un mécanisme effectif de suppression anticipée des données et ce, au-delà du cas particulier mis en avant.

Sur les mesures de sécurité

La Commission prend acte de la mise en œuvre de sauvegardes. Pour assurer leur bon fonctionnement, elle recommande que des tests de restauration soient régulièrement effectués.

La Commission recommande qu’un contrôle d’intégrité soit opéré sur les données stockées, par exemple en calculant une empreinte des données avec une fonction de hachage conforme à l’annexe B1 du référentiel général de sécurité.

La Commission prend acte de la mise en place d’une journalisation. Elle considère comme nécessaire que des mesures organisationnelles (par exemple, la génération de rapports réguliers et le contrôle humain des données par la hiérarchie pour les composantes les plus sensibles du traitement) qui permettent d’exploiter ces données et qui contribuent à la sécurité du traitement soient prévues.

La Commission rappelle que les équipements accueillant les données (et ce quelle que soit la typologie d’accédant) doivent faire l’objet de mesures de chiffrement afin de garantir la confidentialité des données qu’ils contiennent en cas de perte ou de vol de l’équipement. Elle rappelle également que les postes de travail doivent disposer d’un pare-feu, que les logiciels et systèmes d’exploitation installés doivent faire l’objet de mises à jour et que les équipements mobiles doivent de plus faire l’objet de mesures de verrouillage ou d’effacement à distance, activées en cas de perte ou de vol de l’équipement.

La Présidente

Marie-Laure DENIS