Le 15 avril 2026, le Comité européen de la protection des données (CEPD) a adopté la Lignes directrices 1/2026 sur le traitement des données à caractère personnel à des fins de recherche scientifique ont été adoptées pour une consultation publique. Elles s’adressent aux responsables des universités, des hôpitaux, des instituts de recherche publics, des entreprises pharmaceutiques et des instituts de recherche privés.
Les lignes directrices concrétisent les dispositions du RGPD spécifiques à la recherche – notamment l’art. 5(1)(b) et (e), l’art. 9(2)(j), l’art. 14(5)(b), l’art. 17(3)(d), l’art. 21(6) ainsi que l’art. 89 RGPD – et contiennent une grille de contrôle correspondante. Certains sujets sont exclus, notamment le contrôle de la compatibilité des finalités selon l’Art. 6(4) RGPD en dehors du contexte de la recherche, les décisions individuelles automatisées et l’interaction avec le droit sectoriel de l’UE et des États membres. L’Espace européen des données de santé et le Règlement sur les essais cliniques ne sont mentionnés que de manière ponctuelle.
Notion de recherche
Seule la recherche scientifique „authentique“ doit bénéficier des privilèges de recherche du RGPD. Selon le considérant 159, cette notion doit être interprétée au sens large, mais ne doit pas être „étendue au-delà de son sens commun“. Pour ce faire, l’EDSA propose six facteurs clés (facteurs clés de performance), qui doivent être examinées de manière cumulative :
- Approche méthodique et systématique : un plan de recherche, la formulation d’hypothèses ou, dans le cas d’une recherche exploratoire, un objectif clairement formulé.
- Respect des normes éthiques : Éthique sectorielle, consentement à la participation, transparence, responsabilité.
- Vérifiabilité et transparence : Résultats vérifiables, évaluation par les pairs, publication des résultats (sous réserve de restrictions légitimes telles que la protection de la propriété intellectuelle).
- Autonomie et indépendance : Recherche exempte de pressions inadmissibles ; qualification académique ou scientifique des chercheurs (PhD ou expertise avérée). La réalisation commerciale n’y fait pas obstacle.
- Objectifs de la recherche : Contribuer à la connaissance générale et au bien-être de la société ; les intérêts commerciaux ne sont pas exclus.
- Valeur ajoutée scientifique : Potentiel d’élargir les connaissances existantes ou de les appliquer de manière nouvelle.
Si ces facteurs sont remplis, la recherche scientifique est présumée. Si certains manquent, la charge de la justification incombe au responsable. Les analyses de marketing ne constituent pas de la recherche. Les opérations de traitement dans le cadre d’infrastructures de données de recherche (biobanques, bases de données de registres) ainsi que les activités en amont telles que la collecte de données de contact ou la pseudonymisation peuvent également relever de l’objectif de recherche, à condition que les facteurs soient reflétés en conséquence.
Compatibilité avec les objectifs et conservation
Conformément à l’article 5(1)(b) du RGPD, le traitement ultérieur à des fins de recherche est considéré comme compatible avec les finalités initiales compatible, Il n’est donc pas nécessaire de vérifier la compatibilité des finalités conformément à l’article 6(4) du RGPD. La compatibilité des finalités remplace Contrôle de la légalité mais ne le fait pas. La base juridique de la première collecte peut souvent être maintenue, mais pas si la première collecte était basée sur un consentement ou une obligation légale et que le nouveau traitement dépasse le cadre correspondant. Si des données personnelles sont transmises entre deux responsables à des fins de recherche, aucun des deux responsables n’est tenu d’effectuer un contrôle de compatibilité des finalités, mais tous deux doivent garantir une base juridique conformément à l’art. 6(1) RGPD ou une exception conformément à l’art. 9(2) RGPD.
Lors de la Rangement selon l’article 5(1)(e) du RGPD, les données personnelles peuvent être conservées au-delà de la réalisation de la finalité initiale, à condition que les projets de recherche futurs soient suffisamment prévisibles. Un terme générique „à des fins de recherche“ n’est toutefois pas suffisant ; une limitation à un domaine de recherche spécifique est nécessaire.
Bases juridiques : consentement, intérêt public et légitime
Broad et Dynamic Consent
Lorsque les objectifs spécifiques de la recherche ne sont pas encore connus au moment de la collecte des données, „.„Grand consentement„c’est-à-dire un consentement pour un domaine de recherche spécifique. Des mesures de protection sont toutefois nécessaires, comme une information détaillée et continue des personnes concernées, par exemple via une newsletter, une surveillance et un examen éthique. Le „consentement dynamique“ (c’est-à-dire les consentements obtenus par projet ou par étapes) peut être plus approprié, notamment en cas de contact étroit et de longue durée entre les chercheurs et les personnes concernées ; des combinaisons de consentement large et dynamique sont également autorisées.
Le CEPD exige ensuite que le responsable vérifie, avant toute utilisation des données dans le cadre d’un projet individuel, si le projet répond aux exigences de la loi. les attentes légitimes des personnes concernées est conforme à la loi. Si ce n’est pas le cas, un nouveau consentement doit être obtenu. Ce contrôle supplémentaire des attentes n’est pas prévu par le considérant 33 du RGPD et rapproche de facto le broad consent du dynamic consent.
Dans le cas de la recherche clinique, qui en même temps les soins de santé et la recherche un seul consentement suffit si les finalités sont liées. Si les buts ne sont pas liés, des consentements séparés sont nécessaires. Pour les patients dont la capacité de discernement est fortement limitée, il convient de renoncer au consentement.
Les consentements accordés en vertu de la législation pertinente en matière de recherche ne répondent pas nécessairement aux exigences du RGPD en matière de consentement. Les responsables doivent donc documenter séparément le consentement en matière de protection des données, idéalement avec des formulaires ou des domaines de consentement clairement distincts.
Intérêt public
L’intérêt public peut être invoqué comme base juridique également des instituts de recherche privés dans la mesure où la législation pertinente de l’UE ou des États membres couvre leurs activités (voir considérant 45 du RGPD). Une obligation légale de recherche n’est pas nécessaire.
Intérêt légitime
La recherche scientifique, même de nature commerciale, peut constituer un intérêt légitime. Le site But de la recherche a, en règle générale, lors de la pesée des intérêts, le droit d’être informé. poids considérable. Les risques résiduels pour les droits des personnes concernées doivent toutefois être réduits conformément à l’article 89(1) du RGPD et pris en compte lors de la mise en balance des intérêts.
En cas de recherche médicale (par ex. études cliniques), l’art. 6(1)(f) du RGPD ne suffit pas à lui seul, une dérogation selon l’art. 9(2) du RGPD est en outre nécessaire.
Données personnelles sensibles
Pour les catégories particulières de données à caractère personnel, le consentement explicite (Art. 9(2)(a)), les données manifestement rendues publiques (Art. 9(2)(e)) et les privilèges nationaux en matière de recherche (Art. 9(2)(j)) peuvent notamment servir de base juridique. L’obstacle pour le caractère manifestement public est ici élevé, les données dans les médias sociaux ne sont couvertes que si la personne concernée a rendu les données accessibles au public par une action claire. Cela est plus probable pour les utilisateurs actifs (influenceurs, blogueurs) que pour les contributions de tiers.
Une analyse d’impact sur la protection des données doit être effectuée lors du traitement à grande échelle de catégories particulières.
Obligations d’information
Dans le cas d’une recherche à long terme, le responsable doit proposer activement aux personnes concernées des moyens de contact (e‑mail, lettre, téléphone) et les informer, par exemple, sur un site web. Tableau de bord de la vie privée ou un site web se tenir informés. Si le profil de risque, le cercle des destinataires, la durée de conservation ou la base juridique changent de manière significative, les personnes concernées doivent être informées avant la mise en œuvre.
Lorsqu’un responsable veut traiter des données personnelles qui étaient à l’origine pour un autre but Si des données personnelles collectées à des fins de recherche sont traitées ultérieurement, il doit en informer les personnes concernées conformément à l’article 13(3) du RGPD. Celui qui supprime sciemment des données de contact alors qu’il prévoit une utilisation ultérieure à des fins de recherche enfreint le principe de transparence.
Si, au cours d’un projet de recherche nouvelles données personnelles générées (p. ex. diagnostics, pseudonymes dérivés, classifications), celles-ci ne sont pas considérées comme étant collectées directement auprès de la personne concernée ; l’article 14 du RGPD s’applique.
Le site Exceptions selon l’art. 14(5) RGPD lors de la collecte de données personnelles via des tiers doivent être interprétées de manière restrictive :
- L’exception en cas d’effort disproportionné est pertinente dans la recherche (données de contact obsolètes, grandes bases de données de plus de 10 ans, populations inaccessibles). Mais les responsables doivent alors informer indirectement (site web, affichage dans les hôpitaux/écoles, médias, organisations de patients).
- „Covert research“ (l’information contrecarre les objectifs de la recherche) ne doit avoir lieu que si elle est clairement nécessaire („strictly necessary“) et seulement si elle est assortie de garanties supplémentaires comme un examen éthique.
Droits des personnes concernées : Effacement et opposition
L’exception au droit d’effacement prévue à l’article 17(3)(d) du RGPD ne s’applique que si l’effacement est susceptible de compromettre les objectifs de la recherche. rendre impossible ou restreindre sérieusement ne se produirait pas. Cela sera rarement le cas pour les grands ensembles de données avec de nombreuses personnes concernées ; cela le sera davantage pour les petites cohortes ou les études longitudinales. Si une personne concernée révoque son consentement, les données doivent être effacées conformément à l’article 17(1)(b) du RGPD, à moins qu’une autre base juridique ne supporte la poursuite de la conservation.
En cas d’opposition, le responsable peut poursuivre le traitement s’il est nécessaire à une tâche au sein de l’entreprise. l’intérêt public est nécessaire. L’EDSA l’étend à l’article 6(1)(f) dans la mesure où l’intérêt légitime coïncide avec un intérêt public. Les circonstances particulières de la personne concernée doivent toutefois être prises en compte (par exemple, une maladie rare avec un risque élevé de ré-identification).
Les responsables doivent également vérifier si droit des États membres L’article 89(2) du RGPD limite les droits des personnes concernées à des fins de recherche ; les dérogations correspondantes doivent être communiquées aux personnes concernées.
Répartition des rôles en cas d’acteurs multiples
La qualification de responsable, de responsable conjoint ou de sous-traitant doit être déterminée de manière fonctionnelle et documentée au cas par cas. L’EDSA précise comme suit :
- Toute personne qui participe à l’élaboration d’un protocole de recherche et qui en détermine les finalités et les principaux moyens est régulièrement considérée comme responsable, même si elle ne traite pas elle-même de données (par exemple le Sponsor d’un essai clinique).
- Un simple soutien à la recherche ou des conseils (par ex. commission d’éthique) ne suffit pas pour établir une responsabilité.
- Les sous-traitants sont par exemple les Contract Research Organizations (CROs), dans la mesure où ils n’agissent que sur instruction.
- Sur responsabilité commune les responsabilités doivent être réglées par contrat et les personnes concernées doivent être informées en conséquence (article 26 du RGPD). Il se peut que plusieurs responsables s’appuient sur des bases juridiques différentes.
Garanties appropriées selon l’art. 89(1) RGPD
L’article 89(1) du RGPD crée, selon l’EDSA, une obligation autonome, en plus des obligations générales découlant des articles 5, 24, 25 et 32 du RGPD :
- L’anonymisation avant la pseudonymisation : Si des objectifs de recherche peuvent être atteints avec des données anonymes, les données personnelles doivent être anonymisées. Le processus d’anonymisation lui-même peut être fondé sur la même base juridique que les opérations en amont.
- Pseudonymisation selon l’état de la technique ; les risques de réidentification liés aux combinaisons de jeux de données doivent être surveillés en permanence.
- Garanties supplémentaires comme les environnements de traitement sécurisés, les bases de données fédérées, les technologies d’amélioration de la protection de la vie privée (cryptage homomorphe, données synthétiques), les interdictions contractuelles de réidentification, la surveillance éthique, les codes de conduite selon l’article 40 du RGPD et les certifications selon l’article 42 du RGPD.
- Une attention particulière doit être portée aux données génétiques et biométriques Les profils génétiques ne sont qu’exceptionnellement anonymes, les membres de la famille sont également concernés et les risques existent tout au long de la vie.