N° de demande d’avis : 2241618	Thématiques : Recherche scientifique (hors santé), observation participante, information des personnes
Organisme(s) à l’origine de la saisine : Université de Montpellier Paul-Valéry	Fondement de la saisine : Article 44.6° de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés

L’essentiel :

La CNIL a été saisie par l’université de Montpellier Paul-Valery d’une demande d’avis sur un traitement mis en œuvre dans le cadre d’un projet de recherche sur les pratiques langagières en santé mentale .

Compte tenu de l’objet et de la portée du traitement, la CNIL recommande de mettre en œuvre des mesures d’atténuation des risques de réidentification des personnes (suppression des données identifiées comme non pertinentes après l’analyse, pseudonymisation des données).

Concernant l’information des personnes concernées, la CNIL rappelle qu’il conviendra de prendre les mesures nécessaires, d’une part, pour se conformer à l’obligation d’informer individuellement les personnes concernées au titre de l’article 13 du RGPD et, d’autre part, pour s’assurer que le traitement projeté peut bénéficier de la dérogation prévue à l’article 14.5.b du RGPD.

­­­­­­­­­­­­­­­­­­­­­­­­­­­___________________

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD);

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ( loi informatique et libertés ), notamment son article 44-6 ;

Sur proposition de M^me Aminata Niakaté, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

Le projet de recherche repose sur une analyse du langage et du discours sur les pratiques langagières en santé mentale dans le cadre de l’intervention précoce en psychiatrie. Il s’agit plus spécifiquement d’analyser les processus de construction, de circulation et d’appropriation des catégories diagnostiques en santé mentale dans les interactions entre jeunes adultes, soignants et communautés numériques concernées. Les travaux sont menés au sein du laboratoire Langages humanité médiations apprentissages interactions numériques (ci-après LHUMAIN ) de l’université de Montpellier Paul-Valéry.

Ce projet a pour objectifs :

• d’étudier les pratiques d’autodiagnostic et de divulgation de troubles psychiques sur certaines plateformes telles que Discord, par exemple;
• d’analyser les discours relatifs à la légitimité des professionnels de santé et aux tensions épistémiques sur le soin psychiatrique ;
• de documenter les détournements discursifs pseudoscientifiques (fake-meds, désinformation, thérapeutiques non reconnues) impliquant des notions médicales ;
• de mener une analyse comparative des dynamiques interactionnelles in situ (dans une unité hospitalière spécialisée) et en ligne.

B. L’objet de la saisine

La CNIL a été saisie, par l’université de Montpellier Paul-Valery, pour avis sur un traitement de données à caractère personnel nécessaire pour réaliser la recherche susmentionnée. Dans la mesure où il porte sur des données sensibles au sens de l’article 9 du RGPD, ce traitement doit faire l’objet d’un avis préalable de la CNIL (article 44-6 de la loi informatique et libertés ).

Il a pour base légale l’exercice d’une mission d’intérêt public (art. 6-1-e du RGPD) dès lors qu’il est mis en œuvre dans le cadre des missions du service public de l’enseignement supérieur public (art. L. 123-2 du code de l’éducation).

II. L’avis de la CNIL

A. Sur les catégories de données traitées

Les données à caractère personnel dont le traitement est nécessaire à la recherche sont collectées selon plusieurs modalités.

• Le chercheur collecte les données in situ. Il suit le soignant dans le centre hospitalier universitaire (ci-après CHU ) et collecte les données :

• • de manière active. Le chercheur peut créer des situations (animations, ateliers, podcast, etc.) où soignants et patients interagissent. Les données sont alors collectées à partir d’une prise de notes, de captations vidéo, ou de captations d’audios ;
  • de manière passive. Le chercheur suit les équipes soignantes en restant dans l’écoute et la prise de notes sur les dynamiques entre les personnes concernées et les modalités relatives à l’organisation du personnel soignant.

• Le chercheur collecte les données en ligne sur les plateformes (captures d’écran, de discours de toute formes – texte, gifs, etc.) :

• • de manière active. Le chercheur créé des micro-espaces virtuels dédiés à la recherche (par ex., serveurs ou canaux de discussion sur Discord) où il explique sa démarche, observe et participe aux échanges sur le sujet de la santé mentale. Il peut proposer de faire des visioconférences avec les participants ;
  • de manière passive. Le chercheur intègre des communautés sélectionnées sur la base de mots-dièse pour observer les discours sur les alternatives aux soins (par exemple, fake meds, conseils ésotériques, etc.).

Il en ressort que l’université traite des données collectées selon différentes modalités (captures d’écran, enregistrements audios, etc.) et de catégories variées. Cette configuration de collecte implique que de nombreuses données incidentes sont collectées.

La CNIL estime cette possibilité légitime, en raison notamment du caractère prospectif de la recherche. Elle prend acte du besoin d’accéder à l’ensemble de ces données qui sont nécessaires à la compréhension des discours étudiés.

Elle relève toutefois qu’au regard du grand nombre de catégories de données traitées et du type de plateformes consultées, il existe un risque de réidentification des personnes concernées, notamment à partir du croisement avec d’autres conversations sur d’autres plateformes (par la réutilisation de patterns identiques dans la composition du message, par exemple).

Au regard de ces éléments et compte tenu de la sensibilité de la recherche (analyse de discours relatifs à la santé mentale), l’université devra mettre en œuvre des mesures d’atténuation des risques de réidentification et d’atteinte disproportionnée à la vie privée – par exemple en supprimant, après l’analyse des discours, toutes les données identifiées comme n’étant pas pertinentes pour la recherche. La CNIL recommande également que les données soient anonymisées le plus tôt possible ou, à défaut, fortement pseudonymisées. Cela implique que toute table de correspondance soit supprimée dans les meilleurs délais (c’est-à-dire une fois la recherche réalisée), dès lors qu’il n’est pas envisagé de recontacter les participants.

B. Sur les durées de conservation des données

Les données collectées seront conservées pendant une durée maximale de 15 ans. Cette durée correspondrait à un maximum de 5 cycles alternant actions de terrain et recherche de connaissances scientifiques.

La CNIL rappelle à titre général que, selon le e) du 1) de l’article 5 du RGPD, les données collectées dans le cadre d’un traitement doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées . En outre, si les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins de recherche scientifique ou à des fins statistiques , une telle conservation doit être accompagnée de la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir les droits et libertés des personnes .

S’agissant des mesures mises en place dans le cadre de la présente recherche, la CNIL prend acte de ce que :

C. Sur les droits des personnes concernées

a. S’agissant de l’information sur le traitement

Les modalités d’information des personnes dépendent du mode de collecte des données. In situ, les personnes auprès desquelles les données sont directement collectées ne sont informées individuellement que lorsque les données sont collectées en observation active. En ligne, des mentions d’information sont affichées sur les profils du chercheur.

Concernant en particulier la collecte en observation passive in situ, en l’absence d’information individuelle, différentes informations sont mises à disposition des personnes concernées (via des QR codes ) au sein de l’établissement. Dans ce contexte, il est également prévu que le chercheur se présente au moyen d’un badge et expose verbalement l’objet de sa démarche auprès du personnel soignant, des patients et de leur entourage familial – garantissant ainsi que ces personnes soient informées de toute collecte de données réalisée lors de sa présence.

Si la CNIL accueille favorablement la mise en place de ces différents niveaux d’information, elle rappelle toutefois que, en cas de collecte directe, les personnes concernées devront bénéficier d’une information individuelle avec l’ensemble des éléments mentionnés à l’article 13 du RGPD. Cette information peut, par exemple, prendre la forme d’une lettre d’information transmise à leur entrée dans l’établissement ou d’une information orale.

Concernant par ailleurs les personnes auprès desquelles les données sont collectées en ligne, la CNIL rappelle qu’une information générale est possible en cas de collecte indirecte sur le fondement de l’article 14.5.b du RGPD dès lors, notamment, qu’une information individuelle se révèle impossible ou exigerait des efforts disproportionnés ou serait susceptible de compromettre gravement la réalisation [de la recherche] .

b. S’agissant du droit d’accès

L’université entend limiter l’exercice des droits, et en premier lieu du droit d’accès, dès lors qu’il lui serait impossible de s’assurer de l’identité du demandeur qui souhaiterait accéder aux données. Il est également précisé qu’au regard de l’objet de recherche (analyse de discours), répondre à une demande d’accès risquerait de faire perdre la confidentialité des données de personnes tierces à celle qui exerce son droit.

La CNIL rappelle qu’une telle limitation n’est possible que dans la mesure où l’exercice des droits risquerait de rendre impossible ou d’entraver sérieusement la réalisation de la finalité de la recherche et sous réserve que soient mises en place des garanties pour les droits et libertés (v. art. 89 du RGPD – dont les principes sont précisés aux articles 78 de la loi informatique et libertés et 116 du décret du 29 mai 2019). En tout état de cause, et au regard du 4) de l’article 15 du RGPD, la CNIL rappelle que l’université ne pourra donner accès aux données que dans la mesure où l’exercice de ce droit ne porte pas atteinte aux droits et libertés d’autrui , y compris à la vie privée de ces personnes.

Par ailleurs, en cas d’exercice des droits, et afin de garantir la sécurité du traitement et de réduire au minimum le risque de divulgation non autorisée de données, l’université devra être en mesure de déterminer quelles données se rapportent à la personne concernée (identification) et de confirmer l’identité de cette personne (authentification).

En cas de doute raisonnable quant à l’identité de l’auteur de la demande, l’université pourra demander la fourniture d’informations complémentaires nécessaires pour confirmer l’identité de cette dernière (article 12.6 du RGPD). En cas d’impossibilité avérée d’identifier la personne concernée (article 11 du RGPD), l’université devra informer cette personne en conséquence, et indiquer les raisons pour lesquelles elle n’entend pas donner suite à ces demandes, conformément aux lignes directrices 01/2022 sur le droit d’accès du Comité européen de la protection des données.

D. Sur les mesures de sécurité

Les données de la recherche seront collectées à la fois in situ et en ligne via l’ordinateur professionnel du chercheur. Les données personnelles, y compris les vidéos ou images, feront l’objet des mesures de pseudonymisation mises en œuvre manuellement par celui-ci. Les informations susceptibles de permettre une identification indirecte, lorsqu’elles sont indispensables à l’analyse, feront l’objet d’un chiffrement additionnel. Bien qu’elles ne garantissent pas une pseudonymisation effective de l’intégralité des données personnelles utiles à la recherche, ces mesures apparaissent adaptées au regard de l’échelle et du contexte des traitements envisagés. La CNIL note cependant pour cette même raison que la destruction de la table de correspondance n’aura pas pour effet de rendre anonyme l’ensemble des données et recommande une analyse ad hoc en cas de publication ou de réutilisation ultérieure de celles-ci.

Il est par ailleurs prévu que tout ou partie de l’analyse des données soit réalisée sur l’ordinateur personnel du chercheur. Pour ce type de projet, compte tenu de la nature des données traitées et des risques s’y rapportant, la CNIL recommande en général la mise en place d’un environnement dédié au sein de l’infrastructure informatique du responsable de traitement, afin que les analyses soient effectuées dans un environnement maitrisé, distinct notamment de l’environnement servant à la collecte de données en ligne.

Les données de l’étude, ses sauvegardes et tables de correspondance devront être chiffrées avec des algorithmes et des procédures de gestion de clés conformes à l’annexe B1 du référentiel général de sécurité, tant au niveau des bases de données que des sauvegardes.

Il appartient au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

La présidente,

M.-L. Denis