« Le respect des règles est essentiel pour la crédibilité de notre activité de recherche »

Quel est le rôle de la déléguée à la protection des données du CNRS et de son service en ces temps de crise ?

Gaëlle Bujan : La recherche suscite en ce moment une forte attente du public. Le respect des règles en vigueur, les comportements éthiques et l’intégrité scientifique sont donc primordiaux pour la crédibilité de l’activité du CNRS. C’est toujours le cas mais je dirais que ça l’est encore davantage dans les conditions actuelles. C’est pourquoi nous nous efforçons, comme pour les projets européens qui sont prioritaires, de donner une première réponse en moins de 24 heures pour les questions concernant des projets sur le COVID-19.

De plus, il faut être conscient que le nombre d’actes de malveillances et de fraudes (cyberattaques, e-mail d’hameçonnage, ransomwares, etc.) va croissant – en lien avec l’augmentation des connexions, du télétravail, des téléchargements, etc. et la relative sécurité1 des postes de travail personnels – et que cette crise sanitaire, comme toutes les crises, rend les personnes plus vulnérables. Il est donc plus que jamais nécessaire d’apporter des garanties et de protéger les données personnelles et donc la vie privée des personnes.

Quelles sont les questions qui relèvent de votre expertise ?

G. B. : Nous assurons la conformité des traitements de données à caractère personnel à la réglementation, i.e. le règlement européen RGPD2 et la loi informatique et liberté. Nous aidons les unités du CNRS et de ses partenaires à mettre en place les conditions qui permettent de sécuriser l’utilisation des données personnelles. Ce qui est moins simple qu’il n’y paraît. Il ne suffit pas, par exemple, de ne pas enregistrer le nom et le prénom d’une personne pour que des données soient anonymes et non identifiantes. Le plus souvent, des faisceaux d’indice permettent la réidentification : par exemple, dans une étude sur une petite ville, l’année de naissance et la composition de la famille peuvent suffire.

En pratique, nous conseillons sur l’utilisation, l’hébergement et le stockage des données. Nous avons été saisis 950 fois l’an dernier, dont 250 à propos de projets de recherche. Nous restons en veille sur les décisions du gouvernement et les conseils émis par la CNIL3 et par le Comité européen de protection des données, et nous diffusons l’information pertinente en interne au CNRS et sur les réseaux sociaux. Nous nous efforçons aussi d’anticiper les actions, dispositifs et décisions qui ont un volet « données personnelles », afin d’apporter les conseils adaptés.

Par exemple, quels dossiers avez-vous traités en lien avec la crise sanitaire ?

G. B. : Nous avons accompagné l’organisation de la gestion des actions liées à la crise, notamment les actions de solidarité des laboratoires. Nous avons fait les démarches et attesté du fait que l’ensemble des données recueillies pour recenser ces actions (nom et prénom des intervenants, laboratoire associé, etc.) était conforme aux dispositions réglementaires.

Plusieurs scientifiques, sensibilisés à la question, sont aussi venus nous demander conseil pour leurs projets de recherche autour du COVID-19. Par exemple, nous avons apporté notre expertise au Centre de recherche en neurosciences de Lyon4 pour qualifier les données personnelles utilisées dans leur questionnaire sur les problèmes olfactifs et le COVID-19 : dans ce cas, les données sont bien anonymes donc non soumises au RGPD. Nous avons traité la même question pour la mise en place de la plateforme nationale « Protégeons nos soignants » du Laboratoire de chimie bactérienne5  : nous avons alors travaillé avec le service des systèmes d’information de la délégation Provence et Corse du CNRS pour la sécurisation de l’hébergement des données.

À Toulouse, le laboratoire Cognition, langues, langage, ergonomie6 nous a aussi sollicité pour leurs questionnaires en ligne sur les ressources psychologiques mobilisées par les individus pour maintenir leur bien-être pendant la période de la crise sanitaire. Ces données-là sont bien identifiantes mais la finalité de recherche publique permet des dérogations, ce qui permet aux chercheurs d’utiliser des données dites sensibles. Ce projet a commencé, il est conforme au RGPD, les personnes qui répondent au questionnaire sont bien informées et les données demandées sont proportionnelles aux besoins de recherche.

Comment s’organise votre service ?

G. B. : Nous sommes une petite équipe de six personnes, rattachée à la présidence du CNRS. Chacun d’entre nous a ses spécialités, mais nous partageons nos compétences sur un sujet commun : la conformité à la protection des données. Nous intervenons sur tout le territoire national, parfois en nous déplaçant, notamment pour des actions de formation et de sensibilisation en laboratoires. Mais, nous nous occupons de « seulement » la moitié des 1 100 unités du CNRS et de ses partenaires. En effet, lors du déploiement du RGPD au CNRS, chaque directeur d’unité a choisi un ou une délégué(e) à la protection des données parmi ses tutelles, désigné(e) auprès de la CNIL. Nous sommes néanmoins en mesure de répondre à toutes les sollicitations et réorienter vers les délégués à la protection des données en charge si nécessaire. Et nous interagissons avec la Direction des affaires juridiques (DAJ) du CNRS, pour les dossiers complexes et parfois pour les demandes d’accès, modification ou suppression de données personnelles. Celles-ci sont peu nombreuses et nous les traitons toujours très rapidement, notamment car il est important de respecter les droits des personnes. Nous sommes aussi en contact avec le responsable de la sécurité des systèmes d'information (RSSI) et ses homologues en délégations, ainsi qu’avec l’Institut des sciences biologiques du CNRS et l’Institut des sciences humaines et sociales pour les projets de recherche en santé. Mais nous n’avons pas la capacité de savoir si les projets de recherche comportent des données personnelles: nous avons besoin que les scientifiques nous sollicitent !

À l’heure où tout doit aller vite, comment la protection des données personnelles est-elle gérée entre les différentes tutelles d’un projet, voire à l’international ?

G. B. : Nous travaillons en réseaux et nous mettons facilement en contact avec nos homologues des autres tutelles. Par exemple, en France, un projet de recherche sur l’histoire du virus dans le Haut-Rhin concernait ainsi le Laboratoire de physique de Clermont-Ferrand, dont la déléguée à la protection des données (DPO) est le CNRS, et l’Institut Pascal, dont la DPO est l’Université de Clermont-Ferrand. Nous nous sommes coordonnées, l’idée étant de ne pas refaire deux fois l’analyse mais de partager notre expertise.

À l’international, cela peut être plus complexe mais c’est la même démarche : nous allons regarder quels sont les objectifs et les responsabilités, qui fait quoi et travailler pour être complémentaires. Nous avons par exemple rendu un avis au Centre neuroscience intégrative et cognition7 qui a relayé une étude conçue avec les règles canadiennes de protection des données.

• 1Voir les conseils de l’ANSSI et de la CNIL.
• 2Le règlement général sur la protection des données (RGPD) constitue le texte de référence en matière de protection des données à caractère personnel. Ses dispositions sont applicables dans l'ensemble des États membres de l'Union européenne depuis le 25 mai 2018.
• 3Commission nationale de l'informatique et des libertés de France.
• 4CNRS/Inserm/Université Lyon 1 Claude Bernard /Université Jean Monnet.
• 5CNRS/Aix-Marseille Université.
• 6CNRS/Université Toulouse Jean Jaurès.
• 7CNRS/Université de Paris.