La Commission nationale de l’informatique et des libertés,

Saisie par l’Institut national d’études démographiques (INED) d’une demande d’avis sur un projet de traitement de données à caractère personnel nécessaire à la réalisation d’une recherche scientifique dénommée « étude des relations familiales et intergénérationnelles (ERFI 2) » ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 44-6° ;

Sur la proposition de M. Claude CASTELLUCCIA, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire du Gouvernement,

ADOPTE LA DÉLIBÉRATION SUIVANTE :

I. La saisine

A. Contexte de la saisine

L’enquête « étude des relations familiales et intergénérationnelles » (« ERFI 2 ») fait partie du programme « Générations et genre » (GGP) qui est un dispositif international d’enquêtes visant à décrire et à expliquer les dynamiques familiales et les trajectoires de vie des individus. Les enquêtes menées dans le cadre de ce programme contribuent notamment à la compréhension de cinq enjeux majeurs des sociétés européennes contemporaines :

• l’entrée dans une ère de basse fécondité ;
• les processus de passage à l’âge adulte et d’insertion des jeunes sur le marché du travail ;
• la complexification des trajectoires de vie, avec la désynchronisation du mariage, de la naissance des enfants, des séparations et des remises en couple ;
• la transformation des rôles de genre dans la famille et au-delà ;
• la modification des relations entre générations avec la baisse de la mortalité et la hausse des familles à plusieurs générations, le vieillissement de la population et l’augmentation de la dépendance liée à l’âge.

Le projet d’enquête a reçu l’avis d’opportunité favorable du Conseil national de l’information statistique (CNIS) le 2 décembre 2021.

B. Objet de la saisine

L’enquête ERFI 2 est une recherche scientifique en sciences sociales qui vise à décrire les situations familiales dans toute leur diversité. Cette recherche portera plus précisément sur les dynamiques familiales dans leur ensemble : fécondité, formation du couple et séparation, inégalités de genre, relations entre générations, départ du foyer parental, passage à la retraite.

Dans la mesure où il porte sur des données sensibles au sens de la réglementation, le traitement projeté doit faire l’objet d’un avis préalable de la CNIL conformément aux dispositions du 6° de l’article 44 de la loi du 6 janvier 1978 modifiée.

Le traitement projeté vise à réaliser une recherche scientifique en sciences sociales et porte sur les personnes âgées de 18 à 79 ans résidant en ménage ordinaire en France métropolitaine.

La présente demande d’avis porte sur les trois composantes de la première vague de l’enquête (2023-2024) :

• une répétition générale de l’enquête par questionnaire (selon le même protocole que l’enquête réelle, avec un objectif de 500 questionnaires) ;
• l’enquête réelle : une enquête par questionnaire administré par téléphone ou rempli sur Internet (avec un objectif d’obtenir 10 500 questionnaires complets) ;
• des appariements avec des données administratives, issues de la « Base Tous Salariés », de la « Base Non-Salariés » et de données socio-fiscales, gérées par l’Institut national de la statistique et des études économiques (INSEE), qui permettront de collecter des informations précises et fiables concernant l’emploi et les revenus des personnes sélectionnées au moment de l’enquête et entre les vagues d’enquête et d’obtenir des informations concernant les non-répondants, sauf opposition de celles-ci.

Deux autres vagues de l’enquête, non concernées par la présente demande d’avis, seront réalisées ultérieurement. Elles consisteront à proposer aux personnes qui auront accepté d’être recontactées afin de répondre à nouveau à un questionnaire de nature similaire à celui de la première vague, trois et six ans après la première interrogation.

La CNIL relève que le traitement projeté poursuit des finalités de recherche scientifique. Elle estime à cet égard que le traitement relève du champ d’application du règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD ») et prend acte de ce que l’INED entend se prévaloir de la base de licéité mentionnée au e) du 1 de l’article 6 du RGPD, à savoir de " l’exécution d’une mission d’intérêt public ". Si un accord est demandé à la personne concernée pour la réalisation de la recherche, cet accord ne constitue pas une base légale pour le traitement de données.

II. L’avis de la CNIL

A. Observations générales

Pour la réalisation de l’enquête quantitative, différents fichiers seront produits par l’INED, afin de contrôler les accès aux différentes informations et de rendre impossible l’appariement non prévu de données. Par exemple, l’accès au « fichier de production intermédiaire avec appariements » se fera via le Centre d’accès sécurisé aux données (CASD), après signature d’un engagement de confidentialité.

L’échantillon de l’enquête sera tiré au hasard dans la base de données « Fidéli » (fichier d’individus et de logements issu des fichiers fiscaux), gérée par l’INSEE. Seules les personnes échantillonnées pourront répondre à l’enquête. La consultation de la date de naissance des personnes échantillonnées permettra à l’INED de ne contacter que les personnes âgées de dix-huit ans ou plus.

Le courrier (et, le cas échéant, le courriel) annonçant l’enquête informera notamment les enquêtés de l’existence de deux modes de collecte (par téléphone ou en ligne) et leur fournira leurs codes personnels donnant accès au questionnaire en ligne. Environ une semaine après la réception de l’annonce, les personnes n’ayant pas encore répondu sur Internet recevront l’appel d’un enquêteur leur proposant de répondre au questionnaire par téléphone ou, à défaut, sur Internet.

Il est indiqué qu’une innovation par rapport à la première édition de l’enquête ERFI tient à l’objectif de suréchantillonner les couples de même sexe, en tirant parti des possibilités de la base de sondage « Fidéli » pour suréchantillonner, via un proxy, les personnes de même sexe qui cohabitent.

La CNIL prend acte de ce que l’information selon laquelle une personne contactée est identifiée dans la base Fidéli comme étant éventuellement en couple de même sexe n’est jamais mentionnée ni aux enquêtés, ni au prestataire de collecte. Pour l’analyse des résultats, ce sont les déclarations faites par les répondants eux-mêmes dans le questionnaire de l’enquête qui seront utilisées pour déterminer leur situation conjugale.

B. Sur les catégories de données collectées

Le questionnaire principal de l’enquête est traduit et adapté du questionnaire international du programme GGP. Selon l’INED, il visera à poser des questions notamment sur des indicateurs socio-démographiques, les relations passées et les enfants, la santé sexuelle et la fécondité ou encore l’organisation du ménage.

Certaines des questions portent sur des données sensibles relatives à la santé, à la sexualité et à la religion. Selon l’INED, ces informations sont essentielles pour étudier la fécondité, les couples et l’entraide familiale. L’enquête s’en tient à des questions relativement générales et aucune information concernant les pratiques sexuelles ou de données issues d’analyses biologiques ou médicales n’est collectée.

La CNIL rappelle que les données « sensibles », en particulier les données relatives à la santé, font l’objet d’une protection particulière. Si différents fichiers seront produits pour la recherche projetée, elle appelle la vigilance de l’INED sur la nécessité que seul un nombre strictement limité de personnes habilitées puissent accéder aux données directement identifiantes qui seront collectées.

La CNIL prend acte de ce que les réponses au questionnaire sont soit des valeurs numériques (des dates, notamment), soit des réponses fermées. Les seules questions ouvertes qui demandent aux enquêtés de saisir du texte en clair sont les libellées de profession (dans le cas où aucun libellé n’a pu être trouvé dans la liste), les prénoms ou pseudonymes des personnes mentionnées (conjoints, enfants, membres du ménage) et les éventuels commentaires sur le questionnaire. La CNIL accueille favorablement la mise en place de ces modalités, qui sont de nature à limiter au strict nécessaire la collecte des données, en particulier des données sensibles, au titre du principe de minimisation.

Les autres catégories de données collectées n’appellent pas d’observations particulières de la part de la Commission.

C. Sur la durée de conservation des données

Après l’expiration des dates de conservation des fichiers concernés, une copie sera archivée sur un serveur sécurisé de l’INED et les fichiers d’origine seront versés aux Archives de France.

La CNIL s’interroge sur la nécessité de conserver une copie archivée des fichiers alors qu’ils seront conservés aux Archives de France conformément au code du patrimoine et rappelle en tout état de cause que ces archives conservées par l’INED ne peuvent l’être de manière indéfinie si elles ne sont pas anonymisées, et qu’il est indispensable que le responsable de traitement leur fixe une durée de conservation. Elle rappelle que l’anonymisation des données devrait être conforme à l’avis n° 05/2014 sur les techniques d’anonymisation adopté par le groupe " de l’Article 29 " (G29) le 10 avril 2014. Pour se prévaloir de l’anonymat de ces données, l’INED devra ainsi réaliser une analyse ad hoc permettant de démontrer que le processus d’anonymisation respecte les trois critères définis dans l’avis n° 05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. À défaut, si ces trois critères ne peuvent être réunis, une étude des risques de ré-identification devra être menée et documentée afin de démontrer que ces risques sont négligeables.

En outre, le « fichier de production et de recherche », mis à disposition de la communauté scientifique via le réseau Quetelet Progedo Diffusion, est présenté comme étant le fichier " avec un plus faible risque de réidentification ". Cependant, le responsable de traitement ne le présente pas comme anonyme, ces mesures permettant uniquement de faire diminuer la possibilité de réidentification.

La CNIL rappelle que la diffusion des données devra être réalisée conformément aux articles 78 de la loi du 6 janvier 1978 modifiée et 116 du décret n° 2019-536 du 29 mai 2019. En particulier, il ressort de ces dispositions que les données doivent être préalablement anonymisées pour être diffusées et non pseudonymisées, sauf si l’intérêt des tiers à cette diffusion prévaut sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. Pour les résultats de la recherche, cette diffusion doit être absolument nécessaire à sa présentation. Les données diffusées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

En tout état de cause, dans le cas de diffusion de données non anonymes, la CNIL rappelle qu’il est indispensable de fixer une durée de conservation, ces données ne pouvant rester disponibles pour une durée illimitée.

D. Sur les accédants et destinataires des données

L’INED précise que seules les données issues du « fichier international », du « fichier de production et de recherche » ainsi que du " fichier de production et de recherche ERFI 2 – FamEmp « seront mises à la disposition de la communauté scientifique via le réseau Quetelet Progedo Diffusion ou via le » GGP Central Hub ".

La CNIL rappelle que le responsable de traitement doit prévoir une information relative aux destinataires du traitement, qui comprendront également la communauté scientifique via les réseaux Quetelet Progedo Diffusion et « GGP Central Hub ». Elle rappelle également que tout traitement mis en œuvre à des fins de recherche ultérieure devra être conforme à la réglementation en matière de protection des données.

Par ailleurs, la CNIL appelle l’attention de l’INED sur le fait que la consultation du système de stockage de l’INED par une personne se situant sur le territoire d’un État tiers à l’Union européenne constitue un transfert de données hors de l’Union européenne. Elle rappelle que tout transfert de données en dehors de l’Union européenne doit être réalisé selon les conditions prévues au Chapitre V du RGPD.

E. Sur l’information et les droits des personnes

Une information individuelle sera délivrée aux personnes concernées. En amont du contact avec le répondant, une lettre-annonce (qui contiendra les mentions d’informations relatives au traitement projeté), ainsi qu’un courriel ou un SMS (qui renverront vers le site de l’enquête qui comportera toutes les mentions d’information) si les coordonnées sont disponibles, seront envoyés à l’ensemble des individus sélectionnés. En début de questionnaire, un texte rappellera le sujet et les objectifs de l’enquête ainsi que les droits « informatique et libertés » dont disposent la personne.

L’article 13 du RGPD prévoit que lorsque des données à caractère personnel relatives à une personne sont collectées auprès de celle-ci, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, les mentions d’information. La CNIL recommande dès lors que, dès le début de l’enquête, la bonne réception de la lettre-annonce, du courriel et/ou du SMS soit vérifiée par l’enquêteur et que l’ensemble des mentions d’information prévues par l’article 13 du RGPD soient, le cas échéant, données verbalement à l’enquêté. À titre de bonne pratique, elle recommande par ailleurs la mise en place d’un dispositif qui permettrait à l’enquêté de vérifier qu’il s’agit bien d’une enquête de l’INED afin de se prémunir contre tout risque de fraude. Par exemple, un portail d’information comprenant les points de vérification que les personnes enquêtées pourraient vérifier avant de répondre à l’enquête pourrait être mis en ligne.

S’agissant de l’information des personnes tierces dont les données pourraient être collectées, l’INED entend mobiliser la dérogation prévue à l’article 14.5.b du RGPD dès lors que, notamment, " l’obtention de leurs identités et coordonnées et la fourniture des informations exigeraient des efforts disproportionnés, en particulier parce que les données relatives aux personnes tierces sont traitées notamment afin de caractériser les répondants et non pas en vue de collecter des informations précises sur des tiers ", ce qui n’appelle pas d’observations.

S’agissant des modalités d’exercice des autres droits, une fois le « fichier contact » détruit, les personnes qui souhaiteraient exercer leurs droits, en particulier leur droit d’accès, seront retrouvées soit avec leur identifiant, soit, pour celles ayant accepté d’être recontactées, avec leur nom, numéro de téléphone ou leur adresse courriel. À défaut, l’INED pourra leur poser quelques questions afin de retrouver le questionnaire concerné.

La CNIL relève que ces modalités d’exercice des droits reposent sur des informations qui peuvent être publiques (par exemple, le numéro de téléphone). Elle recommande, au regard de la sensibilité des données traitées, la plus grande précaution pour éviter toute usurpation d’identité visant à accéder aux données d’un tiers. Elle demande donc à l’INED d’envisager des solutions combinant des secrets transmis au participant pendant sa démarche (par exemple, lors de l’information sur ses droits) avec des questions d’identification reposant sur les données collectées. Elle recommande de plus que les opérateurs chargés de la mise en œuvre de ces exercices de droits soient sensibilisés à la possibilité de tentatives d’abus.

F. Sur les mesures de sécurité

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’avis une analyse d’impact relative à la protection des données spécifique au traitement envisagé.

Compte-tenu de la sensibilité des données collectées, la CNIL recommande que l’ensemble des mesures de sécurité, en particulier les espaces de stockage et travail utilisés pour mener l’étude, soient conformes à l’état de l’art et notamment à des mesures de sécurité équivalentes aux exigences mentionnées dans le référentiel « entrepôt de données dans le domaine de la santé ».

À cet égard, la CNIL recommande une surveillance automatique ou manuelle de tout export de données hors de ces espaces, afin d’en vérifier systématiquement le caractère anonyme.

Différents pseudonymes aléatoires sont attribués aux participants. Ceux-ci devront être distincts pour les différents flux de données. Toute table de correspondance devra être supprimée dans les meilleurs délais après consolidation de la base et la génération de nouveaux pseudonymes pour celle-ci. Pour toute mise à disposition, des pseudonymes dédiés à chaque espace de travail devront être générés.

Les échanges de données sont réalisés via des canaux de communication chiffrés et assurant l’authentification de la source et du destinataire. La CNIL considère que la nature des données de l’étude exige que celles-ci fassent l’objet de mesures de chiffrement conformes à l’annexe B1 du référentiel général de sécurité, tant au niveau des bases de données, des tables de correspondance que des sauvegardes.

Le responsable de traitement devra s’assurer du respect des exigences de sécurité à toutes les étapes du traitement opérées par les différents organismes participants.

Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les articles 5.1.f et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

La Présidente

Marie-Laure DENIS