N° de demande d’avis : 2241438	Thématiques : Recherche scientifique (hors santé)
Organisme(s) à l’origine de la saisine : Université Lumière Lyon 2	Fondement de la saisine : Article 44.6° d e la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés

L’essentiel :

L’université Lumière Lyon 2 a saisi la CNIL pour avis sur un traitement de données à caractère personnel poursuivant une finalité de recherche scientifique. Ce traitement permettra d’étudier l’état du droit de la filiation procréative des personnes transgenres.

Le traitement n’appelle pas d’observations particulières de la CNIL, sauf pour ce qui concerne les modalités de partage des responsabilités et les risques de réidentification au regard du nombre réduit de personnes concernées.

­­­­­­­­­­­­­­­­­­­­­­­­­­­­___________________

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi informatique et libertés ) ;

Sur proposition de M^me Aminata Niakaté, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

Le traitement projeté s’inscrit dans le cadre d’un projet de recherche scientifique mis en œuvre à la demande du centre de recherches critiques sur le droit (CERCRID) de l’université Lyon 2.

Cette recherche en sciences sociales, qui mobilise plusieurs disciplines (droit, psychologie, sociologie, etc.), vise à permettre :

• une meilleure compréhension du cadre juridique et du vécu des personnes transgenres et des professionnels qui interviennent sur la question de la filiation procréative ;
• d’identifier des leviers juridiques efficaces pour reconnaître la filiation procréative des personnes transgenres.

B. L’objet de la saisine

La CNIL a été saisie pour avis, par l’université Lumière Lyon 2, sur un traitement de données à caractère personnel mis en œuvre pour réaliser cette recherche.

Dans la mesure où il est susceptible de porter sur des données sensibles au sens de l’article 9 du RGPD (notamment des données de santé, relatives à l’orientation sexuelle, ou encore aux opinions politiques ou religieuses), le traitement fait l’objet d’un avis préalable de la CNIL conformément aux dispositions de l’article 44.6° de la loi informatique et libertés .

Il a pour base légale l’exercice d’une mission d’intérêt public, au regard des missions de l’université en matière de recherche scientifique (article L. 123-2 et L. 123-3 du code de l’éducation).

II. L’avis de la CNIL

A. Sur la responsabilité du traitement

Il ressort de l’analyse d’impact relative à la protection des données (AIPD) que l’université Lumière Lyon 2 met en œuvre le traitement en co-responsabilité avec plusieurs autres universités.

La CNIL rappelle que le responsable de traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement (article 4.7 du RGPD). Des cas de responsabilité conjointe sont possibles dès lors que deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement (article 26 RGPD). La répartition des responsabilités découle d’une analyse juridique qui doit être réalisée au cas par cas, à la lumière du rôle effectif de chaque acteur dans la définition des contours du traitement (v. CEPD, lignes directrices 07/2020 concernant les notions de responsable de traitement et de sous-traitant dans le RGPD, §82).

Au regard de ces éléments, la CNIL estime qu’il conviendrait :

• de définir et de préciser, dans l’AIPD, les responsabilités de chacun des acteurs ;
• d’établir le cas échéant des conventions de co-responsabilité ou de sous-traitance.

B. Sur les données traitées

Les données nécessaires à la recherche seront issues :

• d’entretiens avec les personnes concernées et les professionnels du secteur ;
• de décisions de justice extraites de la base de données Jurica de la Cour de Cassation ;
• d’articles de presse.

a. S’agissant des mesures de minimisation des données

Concernant en particulier les entretiens, l’AIPD énumère les catégories de données susceptibles d’être collectées dans ce cadre.

Selon les précisions apportées, la conduite des entretiens ne sera pas encadrée de manière à ce que les réponses obtenues soient les moins orientées possibles. Les entretiens seront réalisés au domicile de la personne, parfois en présence de sa famille, et enregistrés au dictaphone.

Dès lors, l’enregistrement des entretiens présente un risque de collecte incidente de données à caractère personnel concernant les personnes concernées ou leurs proches.

La CNIL rappelle que les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément à l’article 5-1-c du RGPD. Dans cette perspective, elle recommande de définir autant que possible, en amont des entretiens, les questions pertinentes.

b. S’agissant des risques de réidentification des personnes

Les décisions de justice collectées comporteront les communes de naissance des personnes concernées. Selon les précisions apportées, la collecte de telles données ne vise pas à identifier ces personnes mais à contacter le tribunal et la commune d’où émane la décision en question, afin de recueillir les témoignages du personnel ayant travaillé sur les cas identifiés.

La CNIL souligne les risques de réidentification qu’implique le traitement de ces données dès lors que la recherche concerne un nombre très limité de personnes. Elle prend acte des mesures prises pour atténuer ces risques et notamment la limitation de l’accès aux entretiens à certains chercheurs ayant besoin de traiter les données dans le cadre de la recherche. Les décisions issues de Jurica seront accessibles à un groupe de chercheurs distinct.

C. Sur l’information des personnes

Une notice d’information individuelle sera distribuée aux personnes concernées lors des entretiens, conformément à l’article 13 du RGPD.

La CNIL estime que cette notice devrait être complétée en indiquant, notamment :

• la base légale du traitement ;
• les destinataires des données ;
• les durées de conservation.

D. Sur les mesures de sécurité

La CNIL note que les données brutes, notamment celles issues des entretiens, qui sont susceptibles de contenir des informations identifiantes et sensibles, seront temporairement copiées et sauvegardées sur des serveurs universitaires (ou de l’infrastructure Humanum) et des ordinateurs personnels des chercheurs, avant d’être versées sur l’outil Resana et supprimées de ces serveurs et ordinateurs. Afin que ce mode de fonctionnement n’entraîne pas de risque supplémentaire pour la confidentialité des données, il conviendra de s’assurer régulièrement que les données sont effectivement effacées des serveurs et ordinateurs en question.

La transcription des entretiens sera, avant analyse, rendue pseudonyme de manière non automatisée, par exemple en remplaçant ou supprimant les données susceptibles de permettre l’identification. Compte tenu de l’échelle de l’étude et de son objet, cette méthode apparaît adéquate pour minimiser l’exposition des personnes concernées dans le cadre de l’étude elle-même.

La CNIL appelle toutefois l’attention sur le fait que ces mesures sont susceptibles de ne pas être suffisantes pour rendre les données ou citations anonymes en vue de leur publication et recommande, l’utilisation systématique de méthodes supplémentaires pour empêcher l’identification.

La présidente,

M.-L. Denis