ISP - Institut des Sciences sociales du Politique UMR7220

Nos tutelles

CNRS

Nos partenaires

Rechercher




Accueil > ACTIVITES > Séminaires thématiques > Analyse de données en sciences sociales

Retour sur la journée d’études sur les données personnelles et sensibles organisée par l’ISP

par SANDRINEC - publié le , mis à jour le

Le 7 novembre dernier s’est tenue une journée d’études sur les données personnelles et sensibles organisée par l’ISP. Retour sur les principaux éléments.

Le règlement général sur la protection des données (RGPD) relatif à la protection des données à caractère personnel dans l’Union européenne entrera en vigueur en France fin mai 2018. Il s’inscrit dans une longue tradition française de protection des données (loi Informatique et Libertés de 1978) : si les principes fondamentaux de protection de la personne sont conservés (les fichiers constitués – papier ou numériques – et les traitements de données ne doivent porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles et collectives), certains aspects se voient renforcés dans le RGPD, comme le principe de responsabilisation des organismes et le pouvoir de sanction des autorités de protection.
Ce règlement fait l’objet de nombreux questionnements, notamment en SHS, quant à ses applications concrètes.


- Retrouvez les intervenants de la journée sur la chaîne Youtube de l’ISP
- Programme de la journée

Qu’est-ce qu’une donnée à caractère personnel ?

Il s’agit de données relatives à une personne, directement identifiantes (nom, prénom, photo, voix, etc.), indirectement identifiantes (empreintes digitales, n° de client, etc.), ou identifiantes par recoupement d’informations.
Quant aux données sensibles, il s’agit de toute donnée contenant des informations sur l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses ; l’appartenance syndicale ; l’état de santé ; l’orientation sexuelle. Auxquelles s’ajoutent, dans le RGPD, les données génétiques et biométriques.
Ces données ne peuvent être collectées, sauf exceptions encadrées, notamment pour l’enseignement et la recherche (intérêt public). Il convient dans tous les cas de respecter le cadre légal, impliquant notamment le consentement éclairé, explicite, libre et expresse des personnes concernées.

Exception et pratiques pour la recherche en SHS

La question de la règlementation des données à caractère personnel est peu abordée dans les enseignements de méthodes en sciences sociales. Pourtant, l’obligation légale s’impose dès la conception du processus de traitement (« privacy by design »), regroupant toute action de recueil d’information, de façon automatisée ou non, ainsi que le stockage, les analyses et publications, y compris lorsque le caractère personnel apparaît de façon temporaire. Le souci d’éthique et de déontologie ne saurait se substituer à la règlementation.

Chaque traitement doit être évalué au regard d’un principe de finalité (problématique de recherche explicite et légitime), d’un principe d’économie (la collecte doit concerner le moins de données possible, déterminées par les hypothèses de recherche) et d’un principe de pertinence (exactitude, actualité et complétude des données). Chaque projet de recherche étant particulier, l’application adaptée de ces principes s’apprécie au cas par cas, avec le soutien du correspond informatique et liberté référent – à associer dès les premières étapes du projet.

Par ailleurs, la réutilisation de données à des fins statistiques ou de recherche scientifique ou historique est considérée comme compatible avec les finalités initiales de la collecte des données, si elle respecte les principes et les procédures légaux.
Le traitement de données personnelles dans le cadre de la recherche scientifique se heurte parfois à des enjeux contradictoires. Ainsi, comment concilier l’impératif (scientifique et institutionnel) d’ouverture des données et protection de la personne ? Comment empêcher la réidentification des personnes alors que, dans les faits, le processus d’anonymisation s’avère quasi-impossible ? Si seul un haut niveau d’abstraction, d’agrégation des données peut limiter cette réidentification, les données conservent-elles un intérêt pour la recherche en SHS ? Enfin, le droit à l’oubli peut, quant à lui, affecter la mission de conservation des services d’archives publiques et la recherche historique : comment en effet coordonner effacement de données et conservation d’une mémoire ?

Les réponses à ces questions se situent au niveau individuel mais également collectif.
S’il faut bien sûr toujours s’interroger sur la finalité de la recherche en termes de protection des personnes, la mise en place de procédures et de ressources collectives s’avère nécessaire (entrepôts de données sécurisés ; comités d’éthique ; meilleure représentation des sciences sociales dans les recommandations de la CNIL).

Comment protéger ses données ?

Avant tout, la protection des données doit être adaptée au niveau de risque encouru. Il est également conseillé de partir de ses propres pratiques pour les sécuriser progressivement (chiffrement des disques durs et compression des documents de travail par mot de passe, partage des mots de passe par un autre canal de diffusion, éventuellement chiffrement des messageries par services décentralisés, et pour certaines données très sensibles, utilisation d’ordinateurs non connectés, etc.). Il est enfin recommandé de s’adresser à la DSI (direction des systèmes d’information) de son institution pour tout conseil de sécurisation des données.

En conclusion, la réglementation des données personnelles vise à protéger les droits de la personne, tout en tenant compte de la particularité des activités de recherche et d’enseignement.


Guides d’application de la règlementation

- Guide « informatique et liberté » pour l’enseignement supérieur et la recherche, https://www.cnil.fr/sites/default/files/typo/document/Guide_AMUE_2011.pdf ;
- Ensemble des guides, dont des outils pour les études d’impact sur la vie privée : http://www.cil.cnrs.fr/CIL/spip.php?article1571

Contacts des référents CIL

- Service informatique et libertés du CNRS : http://www.cil.cnrs.fr/CIL/
- CIL de l’université Paris Nanterre : http://www.parisnanterre.fr/les-services/service-des-affaires-juridiques-et-institutionnelles-saji--320042.kjsp
- CIL de Paris-Saclay : http://www.ens-cachan.fr/lecole/propos/organisation/services/affaires-juridiques-institutionnelles-et-marches-publics

Outils de sécurisation des données

- Guide « Surveillance self defense » de l’Electronic frontier foundation en fonction des profils : https://ssd.eff.org/en/playlist/academic-researcher
- Outils proposés par le CNRS : https://ods.cnrs.fr/my_core.php
- Outils proposés par la DRI de l’université Paris Nanterre : https://dri.parisnanterre.fr/category/services/activites/applications-metier/
- Outils framasoft (association de développement de logiciels libres en tant qu’alternatives aux outils centralisés) : https://degooglisons-internet.org/liste
- Services Renater (visioconférences, documents collaboratifs, transferts de fichiers volumineux, listes de diffusion) : https://www.renater.fr/spip.php?page=sommaire

A noter - Recommandations du Conseil scientifique du CNRS

- Sur les données de recherche :
http://www.cnrs.fr/comitenational/cs/recommandations/23-24_nov_2017/Reco_Les-moyens-du-partage-des-donnees-scientifiques.pdf

- Sur la révision de la Directive sur le droit d’auteur :
http://www.cnrs.fr/comitenational/cs/recommandations/23-24_nov_2017/Reco_Les-discussions-internationales-autour-du-droit-d-auteur.pdf

- Sur l’Appel de Jussieu et la "bibliodiversité" :
http://www.cnrs.fr/comitenational/cs/recommandations/23-24_nov_2017/Reco_Les-evolutions-de-l-edition-scientifique.pdf

- Sur l’application de la loi pour une République numérique et l’auto-archivage
http://www.cnrs.fr/comitenational/cs/recommandations/23-24_nov_2017/Reco_L-auto-archivage-des-publications-scientifiques.pdf