Cohortes de patients, échantillons de 680 personnes, groupe contrôle de 38 individus… La recherche scientifique se nourrit de données tangibles et de méthodes soumises à la critique de pairs pour progresser. Quand ces données concernent des êtres humains, leur confidentialité, leur « protection » doit nécessairement être prise en compte.
L’accessibilité à ces données peut-elle être restreinte ? Si oui, n’est-ce pas incompatible avec l’essence même de la recherche scientifique qui veut que des résultats de recherche puissent être accessibles à la communauté, publiés, confrontés à la critique, qu’il s’agisse de ses résultats ou de ses protocoles ?
« Ce qui est clair, c’est que les règles du jeu vont changer en 2018 », souligne Willem Debeuckelaere, président de la Commission de la protection de la vie privée. Le juriste de l’Université de Gand était l’invité de l’Université Libre de Bruxelles (ULB) et de la Vrije Universiteit Brussel (VUB) lors de leur journée de réflexion sur l’éthique et la recherche « AssEt » («Assessing Ethics»).
« Le Règlement Général sur la Protection des données est entré en vigueur le 24 mai 2016 », rappelle Willem Debeuckelaere. « Sa mise en place bénéficie d’une période transitoire de deux ans. Le 25 mai 2018, la Commission vie privée, comme les entreprises et les organisations, y compris les universités, devra se plier à ses nouvelles exigences ».
Ce qui va changer pour les scientifiques et leurs institutions ? « Je vois trois points importants : la transparence, l’obligation de prendre en compte cette dimension « vie privée » dès la conception même d’un projet de recherche, et l’analyse de risque », indique Willem Debeuckelaere.
La transparence
« Elle n’est pas encore optimale. Beaucoup de chercheurs restent trop discrets sur leurs travaux vis-à-vis du grand public ou des personnes dont ils utilisent les données pour réaliser leurs recherches. On se retranche un peu trop facilement derrière les exceptions prévues dans la loi pour éviter de demander le consentement des sujets étude et/ou sur l’utilisation de leurs données. C’est à éviter ».
« Le nouveau Règlement général sur la Protection des données réduit ces exceptions. Il en existe toujours pour la recherche scientifique, mais la nouvelle loi dit aussi que dans la mesure du possible, il faut informer au mieux les personnes concernées, les « data subjects », sur l’utilisation que l’on fait de leurs données ».
L’obligation du « Privacy by design »
« Cela signifie que dès la conception même d’un projet de recherche, la dimension protection de la vie privée doit désormais être immédiatement prise en compte », explique le Président de la Commission de la protection de la vie privée. « La recherche doit intégrer dès son « design », cette notion de respect de la vie privée et des contraintes qui y sont liées ».
L’analyse de risque
« On en parlait déjà dans l’ancienne législation », pointe Willem Debeuckelaere. « Désormais, cela prend davantage d’importance et son non-respect peut donner lieu à des sanctions. Cela implique que lorsqu’on mène une recherche, il y a désormais une obligation de réaliser en parallèle une analyse d’impact de la protection des données (« data protection impact analysis ») : les questions qui se posent, les dangers qui risquent de survenir… Cela va favoriser l’émergence et le développement de nouvelles fonctions au sein d’institutions, y compris universitaires : les DPO, ou « Data protection officer ». Il s’agit de la personne référente en charge de ces matières. Une personne relevant d’une unité de recherche ou plus centrale au niveau de l’institution. Une personne qui accompagne le chercheur ».
Impacts financiers et de gestion du temps
« Soyons clairs », analyse encore Willem Debeuckelaere. « Cette nouvelle loi va générer une charge de travail supplémentaire pour les équipes de recherche. Elle peut aussi engendrer plus de frais. Nous en avons déjà une bonne expérience dans certains domaines, comme la recherche médicale par exemple, ou des comités d’éthique doivent se prononcer, où des mesures d’anonymisation des données sont monnaie courante ».
« Beaucoup de chercheurs ne sont pas heureux de cette évolution. Mais à terme, je suis persuadé que cela sera aussi bénéfique aux équipes, à la qualité de la recherche. En informant davantage et en respectant les prescrits de la loi sur la protection des données/le respect de la vie privée, les personnes qui sont ciblées par ces recherches seront certainement davantage impliquées dans les projets. La collaboration sera meilleure. Les données seront plus riches. Pour le chercheur, il y a là une valeur ajoutée certaine, un retour sur investissement appréciable ».
Des sanctions à 20 millions!
Autre nouveauté de ce nouveau Règlement général sur la Protection des données : l’apparition de sanctions. « Elles peuvent monter jusqu’à 20 millions d’euros », souligne Willem Debeuckelaere. « Cela ne concernera sans doute pas la recherche scientifique. Par contre, d’autres sanctions pourraient être envisagées : destruction obligatoire de données, refus d’accès à des banques de données pour les contrevenants, voire des sanctions financières. D’où l’importance de bien préparer le terrain, pour éviter les dérapages ».
Rôle pionnier de l’ULB
Le nouveau règlement européen relatif à la protection de la vie privée (RGPD) prévoit un nouvel intervenant : le délégué à la protection des données, le fameux « Data Protection Officer » (DPO).
À partir du 25 mai 2018, les institutions/universités (et/ou leurs sous-traitants en ce qui concerne la gestion des données) seront en effet tenues de désigner un tel délégué à la protection des données.
« L’Université Libre de Bruxelles (ULB) est la première université francophone en Belgique à se doter d’un tel Data Manager », explique le Pr Serge Schiffmann, Vice-Recteur à la Recherche et à la Valorisation. « Nous tirons d’ailleurs parti de cette évolution législative pour repenser l’archivage et la gestion des données scientifiques au niveau de toute l’université ».
Autre évolution en vue liée à cette obligation : l’émergence probable de nouvelles spécialisations en Faculté de Droit. « Ce Data Manager aura sans aucun doute besoin d’avis juridiques concernant ces nouvelles dispositions. Il n’est pas impossible dès lors que ce nouveau domaine débouche prochainement sur une nouvelle voie de spécialisation pour les juristes ».