La Commission nationale de l’informatique et des libertés,

Saisie par l’Université Gustave Eiffel d’une demande d’avis concernant un projet de mise en œuvre d’un traitement de données à caractère personnel dénommé Études détaillées d’accident ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 44-6 , 34;

Vu le code de l’éducation, notamment en son article L. 123-2 ;

Vu le décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment son article 116 ;

Après avoir entendu le rapport de M. Claude CASTELLUCCIA, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Émet l’avis suivant :

La Commission a été saisie par l’Université Gustave Eiffel (ci-après " l’Université "), sur le fondement du 6 de l’article 44 de la loi du 6 janvier 1978 modifiée, d’une demande d’avis relative à un traitement automatisé de données à caractère personnel dénommé Études détaillées d’accident (ci-après « EDA »). En effet, dans la mesure où il porte sur des données « sensibles » au sens de la réglementation, le traitement projeté doit faire l’objet d’un avis préalable de la Commission conformément aux dispositions du 6° de l’article 44 de la loi du 6 janvier 1978 modifiée. Par ailleurs, le traitement projeté remplit les autres conditions posées par cette disposition puisqu’il constitue une recherche publique au sens de l’article L. 112-1 du code de la recherche et implique des traitements de données à caractère personnel nécessaires à cette recherche qui revêtent un intérêt public important.

Le traitement « EDA » s’inscrit dans le cadre des travaux du Laboratoire Mécanismes d’Accidents (ci-après « LMA »). Il porte sur la création d’un entrepôt de données à des fins de recherche scientifique en dehors du domaine de la santé.

Le traitement relève du champ d’application du règlement (UE) 2016/679 du 27 avril 2016 susvisé. La Commission relève que si un accord est demandé à la personne concernée pour la réalisation de la recherche, cet accord ne constitue pas une base légale pour le traitement de données. L’Université Gustave Eiffel entend se prévaloir de la base légale mentionnée au e) du 1) de l’article 6 du RGPD, à savoir de l’exécution d’une mission d’intérêt public.

La Commission estime que le 6° de l’article 44 lui permet de rendre un avis unique à la fois pour l’entrepôt qui sera créé par l’Université et les recherches qui seront réalisées en son sein dans le cadre indiqué dans la demande. En revanche, elle estime en l’espèce que les recherches mises en œuvre par des chercheurs externes à l’Université et qui ne sont rattachés à aucun laboratoire de celle-ci, à des fins de recherche publique, à partir des données contenues dans l’entrepôt, constitueront des traitements distincts, non couverts par la demande, qui devront faire l’objet de nouveaux avis au titre du 6° de l’article 44 de la loi « Informatique et libertés ». Elle rappelle qu’en tout état de cause, tout traitement mis en œuvre à des fins de recherche ultérieure devra être conforme à la réglementation en matière de protection des données.

Sur le contexte général du traitement :

Le projet de traitement vise à collecter des informations concernant les mécanismes d’accident sur les lieux d’accident auprès des victimes dans un périmètre autour de 15 km autour de Salon-de-Provence. L’échantillon de données sera constitué d’une trentaine d’accidents par an et de 1500 cas antérieurs à la constitution de l’entrepôt (base de données « RESEDA 1 ») qui auront vocation à alimenter la base de données « RESEDA 2 ». Cette base de données contiendra des données recueillies sur le lieu de l’accident et auprès des personnes impliquées ou susceptibles de donner des indications sur le déroulement de l’accident afin de permettre à des chercheurs de pouvoir y accéder dans le cadre de recherches pluridisciplinaires en accidentologie.

Le travail d’enquête se compose de différentes phases : sur les lieux de l’accident, les « enquêteurs » en charge du projet de recherche (un psychologue et un technicien) vont recueillir les informations dans le cadre d’un premier entretien qui sera complété par un second entretien sept à quinze jours après l’accident auprès des personnes impliquées. Ils vont aussi prendre des photographies et des vidéos. Ils seront à cette fin guidés par une grille de 900 variables correspondant aux informations nécessaires pour alimenter l’entrepôt de données « RESEDA 2 » à des fins de recherches ultérieures dans le domaine de l’accidentologie. Les entretiens sont retranscrits pour être intégrés et codés selon la grille susmentionnée dans cette base de données.

Sur la finalité du traitement :

En premier lieu, il est précisé dans les éléments du dossier que " l’objet [du traitement] est la recherche publique dans le domaine de la sécurité routière ". Il ressort de l’analyse d’impact relative à la protection des données (AIPD) transmise ainsi que des précisions apportées par l’Université que le traitement permet de recueillir des données de cas d’accident sur différentes phases qui sont ensuite analysés, reconstruits, informatisés et intégrés dans la base de données « RESEDA 2 » pour être mis à disposition de chercheurs dans le cadre de recherche scientifiques en accidentologie.

Au regard de ces éléments, la Commission considère que l’AIPD devrait être précisée afin de mentionner explicitement la constitution d’un entrepôt de données à des fins de recherche scientifique en accidentologie. La Commission invite par ailleurs l’Université à indiquer plus précisément les domaines de recherche.

En second lieu, l’Université a indiqué que les cas d’accident peuvent également servir à la communication « grand public » à des fins de sensibilisation à la prévention routière ou dans le cadre de formations ou d’évènements scientifiques (tel que l’évènement « Sciences en fêtes », par exemple). Cette finalité devrait être mentionnée dans la notice d’information. Seules les caractéristiques importantes de l’accident sont conservées et il a été précisé que les informations décrivant le « mécanisme » d’accident (déroulement, faits contributifs à sa survenance et gravité des dommages) seraient anonymisées.

La Commission rappelle que la diffusion des données devra être réalisée conformément aux articles 78 de la loi du 6 janvier 1978 modifiée et 116 du décret n° 2019-536 précité. En particulier, il ressort de ces dispositions que les données doivent être préalablement anonymisées pour être diffusées et non pseudonymisées, sauf si l’intérêt des tiers à cette diffusion prévaut sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.

Pour se prévaloir de l’anonymat de ces données, l’Université devra réaliser une analyse ad hoc permettant de démontrer que le processus d’anonymisation respecte les trois critères définis dans l’avis n° 05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. À défaut, si ces trois critères ne peuvent être réunis, une étude des risques de ré-identification devra être menée et documentée afin de démontrer que ces risques sont nuls.

En tout état de cause, les données diffusées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Sur la nature des données traitées :

En premier lieu, la Commission observe que parmi les catégories de données collectées figurent des données révélant l’état de santé des personnes concernées par le traitement.

Elle prend acte des précisions apportées par l’Université selon lesquelles ces données ne seront pas renseignées dans un formulaire mais recueillies par l’enquêteur qui mène deux entretiens à quinze jours d’intervalle avec la ou les personnes impliquées dans l’accident, lesquels seront ensuite retranscrits et intégrés dans la base « RESEDA 2 ». La Commission prend acte de ce que la méthodologie suivie pour la collecte de données emporte un risque important de collecte de données incidentes. Elle relève, par ailleurs, que les données figurant dans la grille apparaissant dans l’annuaire de données seront codées afin de permettre une recherche aisée dans la base « RESEDA 2 ».

Elle relève que parmi les données qui sont codées dans la base de données « RESEDA 2 » figurent notamment des données sur les lésions des victimes d’accident. La Commission prend acte de ce que la collecte de ces données est utile pour permettre à des recherches ultérieures d’analyser le mécanisme d’accident.

En deuxième lieu, la Commission relève que, dans le cadre de ces différents entretiens menés par les enquêteurs, des données incidentes, pouvant également révéler d’autres données relevant de la catégorie des données dites « sensibles » au sens de l’article 9 du RGPD, notamment celles relatives aux convictions religieuses des victimes d’un accident (par exemple, si une personne impliquée est à jeun au moment de l’accident en raison de ses convictions religieuses), pourraient également être collectées. Cette collecte est justifiée par l’objet des recherches concernées en accidentologie, qui visent notamment à étudier les différents facteurs, tant externes qu’internes, permettant de comprendre les mécanismes générateurs de l’accident.

La Commission rappelle que les données « sensibles » font l’objet d’une protection particulière. Elle estime, dès lors, qu’il conviendrait, au titre du respect du principe de minimisation, de sensibiliser chaque enquêteur sur les méthodes de retranscription et d’intégration des données à la base « RESEDA 2 » afin de limiter au strict nécessaire la collecte de ces données.

En troisième lieu, la Commission observe que, dans l’annuaire des données recueillies qui feront l’objet d’un codage dans la base de données « RESEDA 2 », figure le " nombre d’infractions justifiables d’une perte de points depuis cinq ans " parmi lesquelles il est demandé de préciser s’il s’agit d’une infraction relative à la vitesse, à l’alcoolémie, au respect des priorités et sens interdits, ou aux manœuvres en circulation notamment. Elle relève par ailleurs que lors desdits entretiens, tout élément affectant le mécanisme d’accident peut être conservé pour être retranscrit et intégré à la base de données « RESEDA 2 » et notamment des données pouvant révéler des condamnations antérieures.

Sur ce point, elle rappelle également que l’Université appartient à la catégorie des services publics de la recherche conformément au 1° de l’article L. 123-2 du code de l’éducation, et que dès lors, que l’Université est une personne morale gérant un service public et agissant dans le cadre de ses attributions légales au sens de l’article 46-1 de la loi « Informatique et Libertés » elle serait fondée à traiter, le cas échéant, de telles données.

Sur la durée de conservation des données :

En premier lieu, la Commission prend acte de ce que les données directement identifiantes (par exemple, nom, prénom, adresse, numéro de téléphone, plaque d’immatriculation) des personnes participant à la constitution de l’entrepôt seront supprimées une fois les informations (retranscription de l’entretien, vidéos notamment) intégrées dans la base de données. Elle prend acte de ce que l’Université supprime les données identifiantes des personnes qui n’ont pas donné leur accord à la réalisation de la recherche avant ou au moment du deuxième entretien. De manière générale, elle demande que les données directement identifiantes ne soient pas conservées au-delà du strict nécessaire.

En second lieu, la Commission rappelle à titre général que, selon le e) du 1) de l’article 5 du RGPD, les données collectées dans le cadre d’un traitement doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Elle rappelle en outre que si « les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins de recherche scientifique ou à des fins statistiques », une telle conservation doit être accompagnée de la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir les droits et libertés des personnes ». À cet égard, elle relève que les données qui ne sont pas directement identifiantes, collectées à l’occasion des différents entretiens et dans les vidéos, seront conservées vingt ans à compter de la date de survenue de l’accident.

La Commission prend acte, par ailleurs, de ce que les données ainsi conservées seront pseudonymisées. Elle considère néanmoins que l’Université ne pourrait conserver les données non directement identifiantes sans limitation de durée que dans la mesure où elles seraient par ailleurs anonymisées. Dans le cas contraire, l’Université devra déterminer une durée de conservation des données en base active au terme de laquelle elle procèderait au versement de ces données aux Archives de France conformément aux dispositions du code du patrimoine.

Sur les accédants et destinataires des données :

En premier lieu, il ressort de l’AIPD que les « personnels des EDA » auront accès aux données. La Commission s’interroge sur un éventuel accès à l’entrepôt par des membres rattachés à un laboratoire de l’Université mais qui seraient extérieurs à l’équipe EDA. À des fins de clarté, elle invite l’Université à préciser ces éléments dans les mentions d’information et dans l’AIPD relatifs au traitement.

En deuxième lieu, la Commission prend acte de ce que les chercheurs externes à l’équipe EDA menant des recherches publiques pourront accéder à la base de données. Elle prend acte de ce que cet accès sera réalisé sous la surveillance d’un membre de l’équipe EDA. Elle observe, par ailleurs, qu’aucune instance de gouvernance n’a été mise en place pour s’assurer de la légitimité de l’accès de ces chercheurs à la base de données et pour fixer les domaines de recherche.

En troisième lieu , la Commission prend acte des précisions de l’Université selon lesquelles des chercheurs menant des recherches publiques au sens des articles L. 112-1 et suivants du code de la recherche auront accès aux données de l’entrepôt. Elle attire toutefois l’attention de l’Université sur le fait que, la base de données « RESEDA 2 » contenant des données dites « sensibles », les chercheurs qui mènent des recherches privées ne pourraient pas y accéder, sauf à démontrer qu’ils remplissent l’une des exceptions prévues par le 2° de l’article 9 du RGPD. Elle rappelle également que seules les personnes listées à l’article 46 de la loi du 6 janvier 1978 modifiée peuvent traiter des données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes.

Sur la gouvernance de l’entrepôt :

La Commission prend acte des précisions de l’Université selon lesquelles certaines procédures ont été mises en place afin de s’assurer des accès à la base « RESEDA 2 » et de mettre à jour la liste des variables codées dans la base, sans toutefois que ces procédures soient formalisées. Elle estime, compte tenu de la nature du traitement et de la sensibilité des données collectées, qu’il est nécessaire de mettre en œuvre une gouvernance pour l’entrepôt que l’Université constitue. Dès lors, elle invite l’Université à créer, d’une part, une première instance (comité de pilotage ou équivalent) qui aurait vocation à déterminer les orientations stratégiques et scientifiques de l’entrepôt et, d’autre part, une instance scientifique et éthique dont la mission serait de rendre un avis préalable motivé sur les projets nécessitant l’accès aux données d’entrepôt à des fins de recherches ultérieures. Cette instance aurait notamment pour rôle de s’assurer que les finalités poursuivies par l’organisme menant les recherches ultérieures sont conformes aux finalités pour lesquelles l’entrepôt a été constitué, et de s’assurer que cet organisme respecte les exigences de l’article 9 du RGPD.

Sur l’information des personnes :

En premier lieu, la Commission relève qu’une information sera délivrée aux personnes concernées. Elle prend acte des précisions de l’Université selon lesquelles une première information est délivrée de manière individuelle (sur la fiche d’autorisation à procéder à des recherches). Elle prend acte également de ce qu’une deuxième information est délivrée oralement, quinze jours après l’accident, au moment du second entretien.

Si l’information mentionne que « les données collectées sur un accident sont renseignées dans un logiciel spécifique et sécurisé », la Commission invite l’Université à préciser de manière plus explicite qu’un entrepôt sera constitué, et à mettre particulièrement en avant dans la note d’information les modalités d’exercice du droit d’accès. En complément de l’information individuelle, la Commission invite l’Université à diffuser une information générale, via une campagne d’information publique (sur le site de l’Université, par exemple).

En second lieu, la Commission constate que pourront également alimenter l’entrepôt les informations issues de collectes sur les lieux d’accidents antérieures à sa constitution (dans le cadre de la base de données « RESEDA 1 »). La Commission rappelle qu’en cas de collecte indirecte des données, il convient d’informer les personnes concernées, conformément à l’article 14 du RGPD. En tout état de cause, l’Université peut faire valoir une exception à l’obligation d’information pour la constitution de l’entrepôt si elle justifie que la fourniture de ces informations exigerait des efforts disproportionnés. La Commission observe qu’une telle dérogation au droit à l’information doit, conformément aux dispositions du 5° de l’article 14 et du 2° de l’article 89 du RGPD, être assortie de garanties pour les droits et libertés des personnes et invite l’Université, a minima, à rendre les informations publiquement disponibles (sur le site de l’Université, via les réseaux sociaux par exemple).

L’Université devra, par ailleurs, détailler précisément dans l’AIPD les éléments qui ont conduit à considérer que délivrer une information individuelle constituerait un effort disproportionné, ainsi que les garanties mises en œuvre afin de protéger les droits et libertés des personnes concernées.

Sur le droit d’opposition des personnes :

La Commission relève que les éléments transmis n’indiquent pas clairement si le droit d’opposition est applicable ou non. Elle invite l’Université à clarifier si elle entend permettre l’exercice de ce droit et, le cas échéant, à en préciser les modalités d’exercice. Elle rappelle qu’au regard du 6° de l’article 21 et du 2° de l’article 89 du RGPD – dont les principes sont précisés aux articles 78 de la loi « Informatique et Libertés » et 116 du décret du 29 mai 2019 susmentionné – le droit d’opposition peut être exclu lorsque les données à caractère personnel sont traitées à des fins de recherche scientifique et que le traitement est nécessaire à l’exécution d’une mission d’intérêt public.

Par ailleurs, conformément à l’article 116 du décret susmentionné, cette dérogation n’est possible que dans la mesure où l’exercice du droit d’opposition risquerait de rendre impossible ou d’entraver sérieusement la réalisation de la finalité de constitution de l’entrepôt.

La Commission rappelle toutefois qu’une telle dérogation doit être assortie de garanties pour les droits et libertés des personnes conformément aux dispositions de l’article 89-2 du RGPD. Elle invite l’Université à mentionner, le cas échéant, une telle dérogation dans la notice d’information.

Sur la sécurité des données et la traçabilité des actions :

En raison de la sensibilité des données contenues dans la base de données « RESEDA 2 », l’hébergement de ses services sera réalisé par l’Université. La Commission prend acte de ce que le serveur de la base de données et les postes de consultation seront isolés d’Internet et des autres réseaux internes de l’Université. Les mises à jour de ce serveur seront installées manuellement, sans connexion directe à Internet.

Les données stockées dans « RESEDA 2 » seront pseudonymisées préalablement à leur intégration dans la base de données, c’est-à-dire lors de leur saisie. Un identifiant unique est attribué pour chaque cas, personne et véhicule. La Commission préconise que, lors de la pseudonymisation, les identifiants uniques soient générés par une fonction de hachage cryptographique résistante aux attaques par force brute, qui constitue une mesure technique facilitant l’exercice des droits des personnes concernées.

La Commission note que des documents non structurés, par exemple les retranscriptions d’entretiens avec les personnes concernées, sont également collectés et pseudonymisés manuellement. Elle recommande qu’un système automatique de suppression ou de masquage des données directement identifiantes soit mis en place afin de réduire les risques de ré-identification des personnes concernées.

La Commission prend acte du chiffrement au repos des serveurs et postes de consultation. Elle rappelle que ces mesures de chiffrement devront être conformes à l’annexe B1 du référentiel général de sécurité (« RGS ») afin de garantir la confidentialité des données.

L’accès à la base de données « RESEDA 2 » n’est possible que via des postes de consultation connectés directement au serveur, par connexion directe au serveur ou en utilisant une prise dédiée. En dehors de leurs périodes d’utilisation, ces postes de consultation sont conservées dans une armoire sécurisée. Ces postes de consultation ne sont pas emportées par les personnes habilitées lors d’une enquête sur le terrain.

La Commission note que des données pseudonymisées pourront être exportées hors de la base lors de projets de recherche après minimisation de ces données. Elle estime que les données pseudonymisées contenues dans « RESEDA 2 » ne devraient être manipulées par des chercheurs uniquement que dans des espaces de travail internes et spécifiques à chaque projet de recherche, étanches avec la base de données et étanches les uns des autres, et ne permettant d’exporter que des données anonymisées hors de ces espaces. Afin de mettre en œuvre ces espaces de travail, la Commission recommande qu’un serveur spécialisé dédiée aux projets de recherche soit connecté avec la base de données principale dans le même réseau isolé.

Concernant la mise en œuvre de l’exercice des droits des personnes concernées, la Commission estime que des procédures techniques de ré-identification devraient être mises en place par l’Université et recommande que cette ré-identification soit réalisée dans des espaces comportant les mêmes garanties de sécurité que la base de données elle-même, et comportant une traçabilité et une confidentialité renforcées, notamment via des comptes utilisateurs spécifiques et différents de ceux utilisés dans la base principale.

Concernant l’accès des utilisateurs et administrateurs à la base de données et aux postes de consultation, les utilisateurs sont authentifiés à l’aide d’identifiants et de mots de passe. Etant donné la sensibilité des données conservées, la Commission estime qu’un mécanisme d’authentification multifacteur, comprenant au moins deux facteurs différents d’authentification, doit être mis en œuvre. Si l’un de ces facteurs est un mot de passe, la Commission recommande de mettre en œuvre une politique de mots de passe conforme à sa délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés, et de choisir un facteur d’authentification différent robuste afin d’assurer une meilleure fiabilité de l’authentification et, partant, une traçabilité adéquate des accès des utilisateurs et administrateurs. Elle rappelle que tous les comptes utilisateurs et administrateurs aux serveurs et postes devront être nominatifs et conformes à la politique d’habilitation de l’Université pour ce traitement.

Enfin, la Commission prend acte de ce qu’une journalisation des accès est mise en œuvre par l’Université. Elle souligne d’un système de journalisation, permettant de conserver une trace des opérations de consultation, création et modification des données, et conforme à sa délibération n° 2021-122 du 14 octobre 2021 portant adoption d’une recommandation relative à la journalisation doit être mis en œuvre. Elle prend acte de ce qu’une durée de conservation des traces conforme à ses recommandations est mise en œuvre par l’Université, mais rappelle que ces traces doivent faire l’objet d’un contrôle automatique ou manuel régulier, afin de détecter les comportements anormaux et de générer des alertes le cas échéant.

La Présidente

Marie-Laure DENIS